---
title: "Eins hochzählen genügt"
date: 2026-07-03T07:35:00+02:00
draft: false
image: "2026-07-03_Eins-hochzaehlen.jpg"
tags: ["Anti-Pattern", "AppSec", "Broken Access Control", "Datenleck"]
description: "Fast eine Million Ausweise offen im Netz – kein Zero-Day, sondern grobe Fahrlässigkeit: Broken Access Control und IDOR aus dem Lehrbuch."
---

## 🔍 Was beobachte ich?

Eine App sammelt Ausweise zur Altersprüfung und legt die Bilder an URLs ab, die schlicht durchnummeriert sind. Wer eine Mitglieds-ID um eins erhöht, sieht den nächsten Pass. Keine Anmeldung, keine Prüfung, wer da zugreift. Genau das ist im Juni beim Cannabis-Club-Dienstleister Nefos bekannt geworden.

## 🎯 Was soll eigentlich erreicht werden?

Das Ziel ist legitim: Altersverifikation und Mitgliederverwaltung. Schon das Mittel ist fragwürdig – vollständige Ausweise zu sammeln, setzt in Deutschland etwa das Personalausweisgesetz enge Grenzen, und für den reinen Altersnachweis gäbe es längst die eID. Doch das eigentliche Versagen liegt woanders.

## ⚠️ Warum funktioniert das nicht?

Weil hier keine exotische Lücke zuschlägt, sondern grobe Fahrlässigkeit. Knapp 986.000 Ausweisfotos und 924.000 Pass- und Ausweisnummern lagen an vorhersehbaren, ungeschützten Adressen – ein Lehrbuchfall von Broken Access Control, in der OWASP Top 10 2025 unverändert auf Platz 1. Dazu IDOR (Insecure Direct Object Reference): jedes fremde Profil per Zähler abrufbar. Und ein Stripe-Schlüssel im Klartext in der App. Das ist kein Pech und kein raffinierter Angriff, sondern das Auslassen von Grundlagen, die seit zwanzig Jahren bekannt sind.

## 💡 Was funktioniert besser?

Jeder Objektzugriff gehört serverseitig autorisiert – nicht erraten aus einer hochzählbaren ID. Und der wirksamste Schutz bleibt: Daten, die ich nicht erhebe, kann ich nicht verlieren. Wer hochsensible Identitätsdaten sammelt, schuldet mehr als das Minimum – alles andere ist fahrlässig.

## 📚🔍

- Nearly a million passports and photo IDs were left unprotected (The Verge) [https://www.theverge.com/tech/947157/passports-data-breach-cannabis-club-systems-nefos-puffpal](https://www.theverge.com/tech/947157/passports-data-breach-cannabis-club-systems-nefos-puffpal)
- OWASP Top 10:2025 – A01: Broken Access Control [https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/](https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/)
- OWASP API Security Top 10 – API1:2023 Broken Object Level Authorization [https://owasp.org/API-Security/editions/2023/en/0xa1-broken-object-level-authorization/](https://owasp.org/API-Security/editions/2023/en/0xa1-broken-object-level-authorization/)
