l+f: Jeden Tag Geburtstag haben und Bier trinken

Party ohne Pause: Was für viele wie ein Traum klingt, wurde für Sicherheitsforscher Realität - zumindest rein theoretisch.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge
Schwimmendes U-Boot mit Menschen darauf

(Bild: monticello/Shutterstock.com)

Von
  • Dennis Schirrmacher

Nutzer-Konten in der App der schottischen Brauerei BrewDog waren unzureichend abgesichert. So wären etwa persönliche Details von über 200.000 Aktionären für potenzielle Angreifer einsehbar gewesen. Mit vergleichsweise wenig Aufwand hätten sie diese Informationen für eine Bier-Flatrate missbrauchen können.

Sicherheitsforscher von Pen Test Partner haben die App untersucht und sind darauf gestoßen, dass jedes Konto über einen identischen hartcodierten Token "abgesichert" war. Das führt die Autorisierung ad absurdum und so konnten die Forscher auf jegliche Daten aller Nutzer zugreifen.

Da Aktionäre jeweils drei Tage vor und nach ihrem Geburtstag Freibier-QR-Codes in der App erzeugen können, hätten sie sich lediglich in Accounts mit jeweils passenden Daten einloggen müssen, um sich so dauerhaft zu betrinken und Geburtstag zu feiern.

BrewDog hat sich einem Bericht der Forscher zufolge nicht sehr vorbildlich verhalten und anfangs gar nicht auf die geschilderte Problematik reagiert. Als sie die Sicherheitsproblematik dann eingesehen haben, brauchte es sechs neue Versionen der App, bis das Problem gelöst war. Im Anschluss baten sie die Forscher, keine Details zur Art der gefährdeten Daten und den Namen der Brauerei zu veröffentlichen.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(des)