l+f: Wenn Hacker Hacker hacken, dann ...
... kann das genauso supertrivial sein, wie bei der Schnelltestbutze nebenan.
Nach seiner Registrierung für die Defcon, eine der weltweit größten Hacker-Konferenzen in Las Vegas, erhielt Brandon Forbes aka "Reznok" eine Bestätigungs-Mail mit einem Link zu seinem Online-Ticket. Der sah dann so aus:
hXXps://def-con-merchandise[.]guestmanager[.]com/viewer/orders/3791
And guess what: Natürlich funktionierten 3790 und 3789 genauso, nur dass sie eben die Daten anderer Teilnehmer lieferten. Solche Links, bei denen das einfache Ändern einer Zahl Zugang zu den persönlichen Daten Dritter ermöglichte, erreichten die heise-Security-Redaktion in den letzten Monaten dutzendweise. Viele davon waren etwa von Corona-Schnelltestzentren, die die Testergebnisse online zugänglich machten.
Kann man da vielleicht noch nachvollziehen, dass es den Betreibern an technischem Know-how mangelte und sie auf dem Höhepunkt der Pandemie andere Prioritäten hatten, fällt das Verständnis für die Ausrichter der traditionsreichen Hacker-Konferenz schon geringer aus. Zu ihrer Ehrenrettung sei jedoch erwähnt, dass die Betreiber des Ticketing-Systems prompt auf seinen Hinweis reagierten und dem Link ein zusätzliches Autorisierung-Token hinzufügten, erklärt Reznok in seinem Blog-Beitrag.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(ju)