BrewDog részvényesek adatai
Nagy bajba került az egyik legjobb sörfőző vállalkozás, persze nem a sör minősége okán, hanem, hogy 200 hónapon ugyanazt az API tokent kapta minden egyes részvényvásárlója. Így viszont minden ügyfél hozzáférhetett minden más ügyfél személyes és üzleti adatihoz.
Ezek az adatok tartalmazzák a nevet, születési dátumot, e-mail címet, nemet, minden korábban használt szállítási címet, a telefonszámot, a részvények számát, a kedvezmény összegét, a kedvezmény azonosítóját – ami a QR -kód létrehozására szolgál – és a kedvenc söröket.
A BrewDog nem használt dinamikus jogosultsági tokeneket, amelyek csak egy sessionhoz alkalmazhatók, hanem statikus, könnyen kitalálható fiókazonosítókat használt, így a támadók számára egyszerű feladat a felhasználói fiókok aznosítása.