Cola-Hack: Wenn die Coke unfreiwillig zur Pepsi wird

Der eigene Name auf einer Flasche Cola? Nette Idee, doch da geht noch mehr! Coke bietet im Web die Möglichkeit Flaschen individuell zu bedrucken. Wer da nicht kreativ wird, hat wohl den Draht zum inneren Kind verloren. Meine harmloseste Idee war da noch eine exali.de Coke; doch leider spielt das Kontrollsystem des Konfigurators hier nicht mit. Der Wunschname muss in der Coke Datenbank zu finden sein, die über 30.000 Namen umfasst. Ein Blogger hat es trotzdem geschafft das System zu überlisten und aus der Cola ganz frech eine Pepsi gemacht.

Der Cola-Hack von meinem Blogger-Kollegen quadhead und warum er IT-Spezialisten eine Warnung sein sollte.

„Trink `ne Coke mit Pepsi“

„Cola-Hack: Sicherheitslücke auf meinecoke.de“ heißt der Blogartikel von Harro Müller alias quadhead, der mich diese Woche richtig zum Schmunzeln gebracht hat.

Prinzessin, Lover, Superheld… die Coke Datenbank umfasst zwar viele nette Wunschnamen, doch der Kreativität sind Grenzen gesetzt. Ist der Wunschname nicht auf der Liste des Brauseherstellers – was per clientseitigem Whitelist-Check kontrolliert wird – kann die Flasche auch nicht bestellt werden… Eigentlich!

Fehler im System

Denn quadhead hat eine Lücke im System gefunden und genutzt: Beim Hinzufügen einer Bestellung zum Warenkorb wurde der Name scheinbar nicht erneut mit der Liste abgeglichen. quadhead schreibt dazu: „(…) und so war es mir möglich, den POST-Request zum Hinzufügen einer Bestellung zum Warenkorb beliebig zu verändern und an den Server zu schicken.“ Somit konnte der Code so verändert werden, dass schließlich „Pepsi“ auf der Flasche landete.

Der Cola-Hack im Video:

Neben der Pepsi Cola hat sich quadhead noch ein paar weitere nette Spielereien einfallen lassen; nachzulesen sind die auf seinem Blog.

Nette Geschichte, ernste Folgen

Inzwischen hat Coca-Cola reagiert und die Lücke geschlossen. Vermutlich haben sich einige Coke-Verantwortliche durchaus über den Scherz des Bloggers geärgert, doch ernsthafte Folgen hatte das ganze Spektakel wohl nicht.

Nicht immer haben Lücken im System so glimpfliche Folgen, wie in diesem Fall. Der „Pepsi-Spaß“ ist ein gutes Beispiel dafür, wie schnell schon kleine Versehen eine große Wirkung haben können. Im Zweifel wird der Kunde den IT-Experten für die Folgen des Versehens zur Verantwortung ziehen; da landet der Fall dann womöglich auf meinem Schreibtisch – zumindest wenn der IT-ler vorausschauend war und sich eine gute Berufshaftpflicht gesucht hat 😉

Weiterführende Informationen:

• PC von Hackern ausgespäht, angegriffen, lahmgelegt: Folgen für Dienstleister – und wie ihr Euch schützen könnt
• Hacker manipulieren WordPress: Freiberufler soll für illegal veröffentlichte Inhalte zahlen
• Sicherheit satt auch für Eure Webseiten? Bequem und schnell mit der Initiative-S!

Bilder: ©quadhead (Harro Müller)