l+f: Prost! Die Kaffee-Flatrate ist da

Ein Sicherheitsforscher kauft für 167.772,15 US-Dollar Kaffee.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge

(Bild: StockLite/Shutterstock.com)

Von
  • Dennis Schirrmacher

Einige Kaffee-Automaten von Nespresso setzen auf ein schon seit Jahren unsicheres Bezahlsystem. Das hat ein Sicherheitsforscher von Polle Vanhoof herausgefunden.

In einem Beitrag schreibt er, dass die Automaten beim Bezahlen auf das Mifare-Classic-System setzen. Die Zahlung erfolgt mit Smart Cards. Diese Karten sorgten bereits 2008 für Schlagzeilen, als Sicherheitsforscher das darauf aufbauende Bezahlsystem für den Niederländischen Nahverkehr knackten.

Darauf führte der Anbieter mit Mifare Plus eine abwärtskompatible überarbeitete Fassung mit sicherer Verschlüsselung (AES-128) ein. Das Verfahren kommt aber noch nicht flächendeckend zum Einsatz.

Auf diesem Weg konnte der Sicherheitsforscher eine Nespresso-Karte mit einem Kartenterminal und mithilfe von zwei Tools beschreiben. Schnell entdeckte er die Stelle, an der die Karte das Guthaben lokal speichert. So konnte er die Karte mit vergleichsweise wenig Aufwand mit 167.772,15 US-Dollar aufladen. Guten Durst!

Ihm zufolge setzt Nespresso eigenen Angaben zufolge inzwischen das sicherere System ein. Außerdem speichern sie Guthaben bei neueren Automaten nicht mehr lokal, sondern auf eigenen Servern. Das erschwert eine Manipulation.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(des)