• IT-Karriere:
  • Services:

Nespresso: Kaffee-Flatrate für Sicherheitsforscher

Eine Nespresso-Karte mit 167.772,15 Euro Guthaben hat sich ein Sicherheitsforscher über eine Sicherheitslücke generiert.

Artikel veröffentlicht am ,
Mit Sicherheitslücke gibt es den Nespresso kostenlos.
Mit Sicherheitslücke gibt es den Nespresso kostenlos. (Bild: Nespresso)

Über eine Sicherheitslücke konnte sich Polle Vanhoof eine Kaffee-Flatrate im Wert von 167.772,15 Euro verschaffen. Der Sicherheitsforscher konnte ein Bezahlsystem, das bei vielen Nespresso-Kaffeeautomaten von Nestlé eingesetzt wird, derart manipulieren, dass er mehr als genug Guthaben für seinen Kaffeekonsum hatte.

Stellenmarkt
  1. Stadt Frankfurt am Main, Frankfurt am Main Innenstadt
  2. Stadt Hildesheim, Hildesheim

Grund für das hohe Guthaben sind die von Nespresso verwendeten Mifare-Classic-Smartcards, die bereits 2008 geknackt wurden und sich klonen und manipulieren lassen. Trotz der eigentlich nicht mehr vorhandenen Sicherheit wurden und werden die Smartcards weiterhin eingesetzt. Beispielsweise konnten Sicherheitsforscher 2019 eine Alarmanlage von Abus mit geklonten Mifare-Classic-Chipkarten deaktivieren.

Zu Beginn habe er die Verschlüsselungsschlüssel auf der Nespresso-Bezahlkarte mit dem Tool mfoc geknackt. Das Tool gebe den Schlüssel sowie den entschlüsselten Speicherinhalt der Karte aus. Wegen eines Bugs in der Software habe dies jedoch nicht sofort funktioniert. Ein Pull-Request, der das Problem beheben soll, sei noch offen. Das Tool werde wohl nicht mehr weiterentwickelt, vermutet Vanhoof.

Eigenes Guthaben auf die Mifare-Classic-Karte schreiben

Er lud die Karte auf und holte sich einen Kaffee. Dabei verglich er die Veränderungen im Speicher der Karte. Nach einigen Tests konnte er die 3 Bytes finden, in denen der verfügbare Betrag auf der Karte gespeichert wurde. "Der maximal mögliche Betrag auf einer dieser Karten ist also 167.772,15 Euro", berichtet Vanhoof.

Anschließend schrieb der Sicherheitsforscher den Maximalwert mit Hilfe des nfc-mfclassic-Tools auf die Nespresso-Karte und konnte nun ohne Ende Kaffee an den Automaten ziehen. Seinen Fund meldete der Sicherheitsforscher am 24. September 2020 an Nestlé. Nun veröffentlichte er die Informationen mit Zustimmung der Herstellers.

Dieser biete ohnehin bereits sicherere Optionen wie eine Speicherung des Guthabens auf einem Server oder neueren Mifare-Smartcards an. Betreiber der Kaffeeautomaten, die noch auf Mifare-Classic setzen, sollten auf eines der sichereren Verfahren wechseln, rät Vanhoof.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

spaetz 10. Feb 2021 / Themenstart

Alles schön und gut, bin da bei Dir. Aber diese "Studie" als Beweismittel, die den...

Truster 08. Feb 2021 / Themenstart

YMMD :D

chefin 08. Feb 2021 / Themenstart

Dir ist aber schon bewusst, das dein letzer Satz eine Auffordung zu einer Straftat ist...

wo.ist.der... 08. Feb 2021 / Themenstart

Die delonghi ist ein Thermoblock und für den Preis unschlagbar. Das Teil bekommt man für...

Truster 08. Feb 2021 / Themenstart

Man konnte mit einen Samsung Galaxy Nexus den Betrag auf den Schlüssel mit einer App...

Kommentieren


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
    •  /