Nespresso: Kaffee-Flatrate für Sicherheitsforscher

Eine Nespresso-Karte mit 167.772,15 Euro Guthaben hat sich ein Sicherheitsforscher über eine Sicherheitslücke generiert.

Artikel veröffentlicht am ,
Mit Sicherheitslücke gibt es den Nespresso kostenlos.
Mit Sicherheitslücke gibt es den Nespresso kostenlos. (Bild: Nespresso)

Über eine Sicherheitslücke konnte sich Polle Vanhoof eine Kaffee-Flatrate im Wert von 167.772,15 Euro verschaffen. Der Sicherheitsforscher konnte ein Bezahlsystem, das bei vielen Nespresso-Kaffeeautomaten von Nestlé eingesetzt wird, derart manipulieren, dass er mehr als genug Guthaben für seinen Kaffeekonsum hatte.

Stellenmarkt
  1. Revisor (m/w/d)
    Dirk Rossmann GmbH, Burgwedel
  2. Software Security Engineer (m/w/d)
    Garmin Würzburg GmbH, Würzburg
Detailsuche

Grund für das hohe Guthaben sind die von Nespresso verwendeten Mifare-Classic-Smartcards, die bereits 2008 geknackt wurden und sich klonen und manipulieren lassen. Trotz der eigentlich nicht mehr vorhandenen Sicherheit wurden und werden die Smartcards weiterhin eingesetzt. Beispielsweise konnten Sicherheitsforscher 2019 eine Alarmanlage von Abus mit geklonten Mifare-Classic-Chipkarten deaktivieren.

Zu Beginn habe er die Verschlüsselungsschlüssel auf der Nespresso-Bezahlkarte mit dem Tool mfoc geknackt. Das Tool gebe den Schlüssel sowie den entschlüsselten Speicherinhalt der Karte aus. Wegen eines Bugs in der Software habe dies jedoch nicht sofort funktioniert. Ein Pull-Request, der das Problem beheben soll, sei noch offen. Das Tool werde wohl nicht mehr weiterentwickelt, vermutet Vanhoof.

Eigenes Guthaben auf die Mifare-Classic-Karte schreiben

Er lud die Karte auf und holte sich einen Kaffee. Dabei verglich er die Veränderungen im Speicher der Karte. Nach einigen Tests konnte er die 3 Bytes finden, in denen der verfügbare Betrag auf der Karte gespeichert wurde. "Der maximal mögliche Betrag auf einer dieser Karten ist also 167.772,15 Euro", berichtet Vanhoof.

Golem Karrierewelt
  1. Implementing Cisco Enterprise Wireless Networks (ENWLSI): virtueller Fünf-Tage-Workshop
    10.-14.10.2022, virtuell
  2. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    26.10.2022, virtuell
Weitere IT-Trainings

Anschließend schrieb der Sicherheitsforscher den Maximalwert mit Hilfe des nfc-mfclassic-Tools auf die Nespresso-Karte und konnte nun ohne Ende Kaffee an den Automaten ziehen. Seinen Fund meldete der Sicherheitsforscher am 24. September 2020 an Nestlé. Nun veröffentlichte er die Informationen mit Zustimmung der Herstellers.

Dieser biete ohnehin bereits sicherere Optionen wie eine Speicherung des Guthabens auf einem Server oder neueren Mifare-Smartcards an. Betreiber der Kaffeeautomaten, die noch auf Mifare-Classic setzen, sollten auf eines der sichereren Verfahren wechseln, rät Vanhoof.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


spaetz 10. Feb 2021

Alles schön und gut, bin da bei Dir. Aber diese "Studie" als Beweismittel, die den...

Truster 08. Feb 2021

YMMD :D

chefin 08. Feb 2021

Dir ist aber schon bewusst, das dein letzer Satz eine Auffordung zu einer Straftat ist...

wo.ist.der... 08. Feb 2021

Die delonghi ist ein Thermoblock und für den Preis unschlagbar. Das Teil bekommt man für...



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  2. James Earl Jones: Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab
    James Earl Jones
    Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab

    Die Originalstimme von Darth Vader aus Star Wars gehört James Earl Jones, der sich alterbedingt zurückzieht. Künftig wird die Stimme künstlich generiert.

  3. Fitness-Tracker: Fitbit ab 2023 nur noch mit Google-Konto
    Fitness-Tracker
    Fitbit ab 2023 nur noch mit Google-Konto

    Nach der abgeschlossenen Übernahme durch Alphabet bindet Google den Wearable-Hersteller Fitbit und seine Kunden nun enger an sich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /