🔍 Was beobachte ich?

Eine App sammelt Ausweise zur AltersprĂŒfung und legt die Bilder an URLs ab, die schlicht durchnummeriert sind. Wer eine Mitglieds-ID um eins erhöht, sieht den nĂ€chsten Pass. Keine Anmeldung, keine PrĂŒfung, wer da zugreift. Genau das ist im Juni beim Cannabis-Club-Dienstleister Nefos bekannt geworden.

🎯 Was soll eigentlich erreicht werden?

Das Ziel ist legitim: Altersverifikation und Mitgliederverwaltung. Schon das Mittel ist fragwĂŒrdig – vollstĂ€ndige Ausweise zu sammeln, setzt in Deutschland etwa das Personalausweisgesetz enge Grenzen, und fĂŒr den reinen Altersnachweis gĂ€be es lĂ€ngst die eID. Doch das eigentliche Versagen liegt woanders.

⚠ Warum funktioniert das nicht?

Weil hier keine exotische LĂŒcke zuschlĂ€gt, sondern grobe FahrlĂ€ssigkeit. Knapp 986.000 Ausweisfotos und 924.000 Pass- und Ausweisnummern lagen an vorhersehbaren, ungeschĂŒtzten Adressen – ein Lehrbuchfall von Broken Access Control, in der OWASP Top 10 2025 unverĂ€ndert auf Platz 1. Dazu IDOR (Insecure Direct Object Reference): jedes fremde Profil per ZĂ€hler abrufbar. Und ein Stripe-SchlĂŒssel im Klartext in der App. Das ist kein Pech und kein raffinierter Angriff, sondern das Auslassen von Grundlagen, die seit zwanzig Jahren bekannt sind.

💡 Was funktioniert besser?

Jeder Objektzugriff gehört serverseitig autorisiert – nicht erraten aus einer hochzĂ€hlbaren ID. Und der wirksamste Schutz bleibt: Daten, die ich nicht erhebe, kann ich nicht verlieren. Wer hochsensible IdentitĂ€tsdaten sammelt, schuldet mehr als das Minimum – alles andere ist fahrlĂ€ssig.

📚🔍