Nespresso: Kaffee-Flatrate für Sicherheitsforscher

Eine Nespresso-Karte mit 167.772,15 Euro Guthaben hat sich ein Sicherheitsforscher über eine Sicherheitslücke generiert.

Artikel veröffentlicht am ,
Mit Sicherheitslücke gibt es den Nespresso kostenlos.
Mit Sicherheitslücke gibt es den Nespresso kostenlos. (Bild: Nespresso)

Über eine Sicherheitslücke konnte sich Polle Vanhoof eine Kaffee-Flatrate im Wert von 167.772,15 Euro verschaffen. Der Sicherheitsforscher konnte ein Bezahlsystem, das bei vielen Nespresso-Kaffeeautomaten von Nestlé eingesetzt wird, derart manipulieren, dass er mehr als genug Guthaben für seinen Kaffeekonsum hatte.

Stellenmarkt
  1. Data Engineer (m/w/d)
    Matrix42 AG, Frankfurt am Main
  2. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf
Detailsuche

Grund für das hohe Guthaben sind die von Nespresso verwendeten Mifare-Classic-Smartcards, die bereits 2008 geknackt wurden und sich klonen und manipulieren lassen. Trotz der eigentlich nicht mehr vorhandenen Sicherheit wurden und werden die Smartcards weiterhin eingesetzt. Beispielsweise konnten Sicherheitsforscher 2019 eine Alarmanlage von Abus mit geklonten Mifare-Classic-Chipkarten deaktivieren.

Zu Beginn habe er die Verschlüsselungsschlüssel auf der Nespresso-Bezahlkarte mit dem Tool mfoc geknackt. Das Tool gebe den Schlüssel sowie den entschlüsselten Speicherinhalt der Karte aus. Wegen eines Bugs in der Software habe dies jedoch nicht sofort funktioniert. Ein Pull-Request, der das Problem beheben soll, sei noch offen. Das Tool werde wohl nicht mehr weiterentwickelt, vermutet Vanhoof.

Eigenes Guthaben auf die Mifare-Classic-Karte schreiben

Er lud die Karte auf und holte sich einen Kaffee. Dabei verglich er die Veränderungen im Speicher der Karte. Nach einigen Tests konnte er die 3 Bytes finden, in denen der verfügbare Betrag auf der Karte gespeichert wurde. "Der maximal mögliche Betrag auf einer dieser Karten ist also 167.772,15 Euro", berichtet Vanhoof.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Anschließend schrieb der Sicherheitsforscher den Maximalwert mit Hilfe des nfc-mfclassic-Tools auf die Nespresso-Karte und konnte nun ohne Ende Kaffee an den Automaten ziehen. Seinen Fund meldete der Sicherheitsforscher am 24. September 2020 an Nestlé. Nun veröffentlichte er die Informationen mit Zustimmung der Herstellers.

Dieser biete ohnehin bereits sicherere Optionen wie eine Speicherung des Guthabens auf einem Server oder neueren Mifare-Smartcards an. Betreiber der Kaffeeautomaten, die noch auf Mifare-Classic setzen, sollten auf eines der sichereren Verfahren wechseln, rät Vanhoof.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


spaetz 10. Feb 2021

Alles schön und gut, bin da bei Dir. Aber diese "Studie" als Beweismittel, die den...

Truster 08. Feb 2021

YMMD :D

chefin 08. Feb 2021

Dir ist aber schon bewusst, das dein letzer Satz eine Auffordung zu einer Straftat ist...

wo.ist.der... 08. Feb 2021

Die delonghi ist ein Thermoblock und für den Preis unschlagbar. Das Teil bekommt man für...

Truster 08. Feb 2021

Man konnte mit einen Samsung Galaxy Nexus den Betrag auf den Schlüssel mit einer App...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /