Barcodes = Sicherheitsrisiko

[Ensinger]

Weiß nicht wie ich den Titel richtig benennen soll und ob das hier der richtige Bereich ist 😅

Aber ich hab gerade was bemerkt und würde gerne Meinungen dazu hören. Habe gerade bei unserer örtlichen KFZ Autowasch-Welt online eine Wäsche gekauft. Vermutlich im Sinne der Prozessoptimierung sind online gekaufte Wäschen günstiger als vor Ort am Schalter gekaufte.

Im Anschluss erhält man einen stinknormalen Barcode. Bedenklich ist, dass das eine fortlaufende Zahl ist.

Vor paar Monaten hab ich bspw zwei Wäschen zusammen gekauft und 100005467 und 100005468 bekommen. Heute dann 100009432.

Wäre es nicht viel geeigneter irgendeine zufällige Ziffernfolge zu generieren und vor Herausgabe halt abzugleichen dass diese nicht schon existiert ?

Wäre ich böswillig könnte ich jetzt einfach aus der Zahl 100009431 einen Barcode generieren, damit zur Waschstraße fahren und die Wäsche einlösen die irgendeiner vor mir online gekauft hat

 

[h00bi]

Bei so plumpen Barcodes müssen diese vermutlich vom Kassensystem aktiviert werden und erst dann reagiert die Waschanlage darauf.
In der Zeit vom Kauf bis zur Einlösung kannst du dann vermutlich dazwischen grätschen.

Ist denn der Inhalt des Barcodes, wenn du ihn mit dem Handy o.ä. scannst, identisch mit der menschenlesbaren Nummer?

 

[Bruzla]

Kann sein, dass die fortlaufende Nummer einen anderen Inhalt und einen anderen Zweck hat als der Barcode.

In solchen System braucht es oft eine fortlaufende Nummer.

 

[Der_Dicke82]

Hinter der laufenden Nummer ist ja im Systeme deine Wäsche gespeichert! Wenn du deinen eigenen code generiert, kann es zwar funktionieren, das du die Wäsche von jemand anderen bekommst, oder eben auch nicht.

 

[tomgit]

Security by obscurity.
Du müsstest halt dafür sorgen, dass weder der Code bereits eingelöst wurde noch bereits erstellt wurde, quasi direkt eien Fälschung erstellen nachdem du deine Sachen in Auftrag gegeben oder abgeholt hast.
Kommt man auf die Zahlen "einfach so"?

 

[Azghul0815]

Bei so plumpen Barcodes müssen diese vermutlich vom Kassensystem aktiviert werden und erst dann reagiert die Waschanlage darauf.

So funktionier das ganze ja auch mit den ganzen Guthabenkarten bei Netflix, Apple, Google usw.
Die werden erst aktiv, wenn die eingescannt wurden.
Wenn du da eine mitnimmst und den Pin aufrubbelst ist die erstmal useless

 

[Shark1705]

Ich schließe mich den Gedanken von den Anderen an. Es wird nur eine Nummer sein, die sich auf einen gebuchten Posten bezieht, damit das System weiß, was hinter dem Posten steckt. Wahrscheinlich wird dieser Posten nach einmaliger Aktivierung sofort gesperrt und der Barcode ist nutzlos.

 

[h00bi]

Wahrscheinlich wird dieser Posten nach einmaliger Aktivierung sofort gesperrt

Darum gehts doch gar nicht.

Du bestellst dir online eine Wäsche und bekommst 100009431 als Ticket.
Der TE geht in die Tanke rein und kauf eine Wäsche mit 100009432

Nun spekuliert der TE, dass irgendein Onlinekäufer (du) noch nicht da war.
Also generiert er sich Barcodes für:
100009431
100009430
100009429
100009428
...

und checkt ob er damit eine Wäsche starten kann. Seine 100009432 hebt er sich auf fürs nächste mal.

Wenn du dann mit deiner 100009431 kommst, sagt die Waschanlage: Nö, is schon eingelöst.
Daraufhin wirst du natürlich in die Tanke rein und dich beschweren, dass dein Ticket nicht akzeptiert wird.

Wenn das mehrfach reklamiert wird, wird der Betreiber irgendwann seine Überwachungskameras checken.

 

[Shark1705]

Das ist doch genau das Verhalten was ich beschrieben habe.

 

[Visceroid]

Wäre ich böswillig könnte ich jetzt einfach aus der Zahl 100009431 einen Barcode generieren, damit zur Waschstraße fahren und die Wäsche einlösen die irgendeiner vor mir online gekauft hat

Ja natürlich, und dort gibt es sicher auch keine Überwachungskamera die dann dein Kennzeichen aufzeichnen wird

 

[Rexaris]

Ja, vermutlich könnte das gehen. Ich denke, das ist aber nur theoretischer Natur. Praktisch würde sowas auffliegen, oder aber dazu führen, das eine neue Sicherheitsebene benötigt wird. Das funktioniert in Deutschland immer super mit mehr Bürokratie.

Einer denke sucht sich eine Lücke für den persönlichen Vorteil, ein anderer gönnt diesen Vorteil nicht und schwups haben wir einen Prozess, der schön kompliziert und umständlich ist.

Wie einfach könnte nur unsere Welt sein, wenn man Dinge einfach mal so benutzen würde, wie sie gedacht sind. Dann könnte die Waschanlage sogar mit einer Kasse des Vertrauens auskommen.

 

[areiland]

Wäre ich böswillig könnte ich jetzt einfach aus der Zahl 100009431 einen Barcode generieren, damit zur Waschstraße fahren und die Wäsche einlösen die irgendeiner vor mir online gekauft hat

Dann wirst Du abgewiesen, weil 100009431 vor der 10009432 dran war und jeder Barcode fortlaufend generiert wird. Und wenn man sich nach der Generierung des Barcodes ohnehin in die Warteschlange der Waschstrasse einreihen muss, dann gehts erst recht nicht.

 

[Incanus]

Das kann nicht funktionieren, wenn man sich die Tickets wie hier vorab online kaufen kann. Dann ist man ja vielleicht erst drei Tage später an der Waschstraße.

Ob die vor Ort gekauften Barcodes einem anderen Nummernkreis angehören, kann man so jetzt noch nicht wissen.

 

[JumpingCat]

Sicherheitsrisiko

Welches Sicherheitsproblem entsteht hier? Den Schaden hat maximal der Waschstraßenbetreiber. Man könnte jetzt mit Verschlüsselung und Multifaktor und Co das absichern, aber das kostet auch nur wieder Geld.

Vermutlich im Sinne der Prozessoptimierung sind online gekaufte Wäschen günstiger als vor Ort am Schalter gekaufte.

Was musst man an Daten angeben?

damit zur Waschstraße fahren

Gute Idee. Ist sicher auch nicht auffällig auf der Videoüerwachung wenn immer genau dein Auto/Kennzeichnen genau dann auftaucht wenn es Probleme mit doppelten Barcordes gibt. ;-)

Wäre es nicht viel geeigneter irgendeine zufällige Ziffernfolge zu generieren und vor Herausgabe halt abzugleichen dass diese nicht schon existiert ?

Geschichte nicht aus dem Paulaner Garten: Auf einigen Guthaben Karten war früher das Guthaben auch direkt gespeichert. Gesichert mit einer "geheimen" Prüfsumme. Um die Sicherheit zu demonstrieren gab es auch den kompletten Sourcecode dazu beim "Anbieter". :-)

 

[CoMo]

Sicherheitsrisiko würde ich das nicht nennen. Welche Sicherheit soll denn hier gefährdet sein? Hier kann maximal der Betreiber einen finanziellen Schaden erleiden. Und auch Reputation, wenn Kunden sich über nicht funktionierende Barcodes beschweren.

 

[aluis]

Ein saubers Auto auf Kosten von jemand anderem. Ok, der macht Stress und bekommt trotzdem seine Wäsche. Könnte klappen, wenn man vorher seine Nummernschilder abklebt

 

[tollertyp]

@aluis Aber vorher eine Wäsche buchen, um den Nummernbereich zu kennen, und dann mit genug Barcodes hinfahren, damit man genug Auswahl hat, weil die ja schon verbraucht sein könnten...

 

[aluis]

@tollertyp ja, richtig. Sein Auto zweimal Waschen sollte klappen

 

[Ranayna]

In der Praxis ist dieses Szenario ziemlich irrelevant.
Der Kunde mit dem nicht funktionierenden Waschschein im Original wird sich natuerlich an der Waschanlage beschweren. Selbst wenn kein Beleg in dem Sinne vorhanden ist, wird es sicherlich Transaktionslogs geben wenn man bezahlt hat, vorallem wenn das online war sind da ja Identitaetsdaten mit verbunden.
Dann wird in die Logs geschaut wann der Beleg verwendet wurde, man schaut einmal aufs Kennzeichen, und Anzeige ist raus.