独占 コペンハーゲンのカールスバーグ展示施設では、自分だけのビールをブレンドするなどの楽しいアクティビティがいろいろ用意されており、デンマークの醸造会社はツアー終了後に画像をダウンロードできるようにして、そうした思い出を追体験できるようにしている。
しかし、その画像は安全に保管されていない。研究者らは、毎月醸造所を訪れる何百人ものビール愛好家の氏名と画像に、誰でもアクセスできてしまうことを明らかにした。
その愛好家の一人が、Pen Test Partnersの創設者ケン・マンローだ。彼は自ら体験を訪れた後、画像にアクセスするためのコードが容易に総当たりできることを突き止めた。
公開前にThe Registerと共有された報告書の中で、マンローは、展示の来場者が同社のウェブサイトにリストバンドIDを入力すると、その日に撮影された自分の画像が表示され、ダウンロードできるようになると述べた。
カールスバーグ・エクスペリエンスのリストバンド(Ken Munro/Pen Test Partners)
これらのリストバンドIDは30日で失効するが、その形式からは2,600万通りの組み合わせが可能で、マンローはノートPCだけで容易に生成できると見込んだ。
彼が醸造会社の「広範な」脆弱性開示ポリシーと呼ぶものを手に、どれだけのデータにアクセスできるかを検証し始めた。
Burp Suiteを使い、リストバンドIDが16進文字列に変換され、それをカールスバーグのウェブサイトに渡すと、対応する来場者の画像が返ってくることを突き止めた。
「VDPの条件を守りつつ、約2時間で100万件のリストバンドIDを総当たりできました」とマンローは語った。「ノートPC1台でも、約52時間で有効なリストバンドIDすべてにアクセスできる可能性があります。
「100万件のサンプルから約500件のリストバンドIDを有効と確認できたので、それを26倍すると、すべての文字が使われていると仮定した場合、カールスバーグ展示施設のインタラクティブ要素を30日ごとに利用する人は約1万3,000人いることになります。」
カールスバーグ・エクスペリエンスで撮影された来場者の画像をダウンロード(Ken Munro/Pen Test Partners)
研究者は、展示の参加者の氏名、画像、動画にアクセスできたと述べ、この種の情報はGDPRの下で保護されるべきだと指摘した。もっとも、The Registerで目にする漏えいの中でも最も扇情的なものではないが。
難航する開示
マンローのコペンハーゲン訪問は8月に行われた。数日後の8月19日、彼はZerocopterを通じてカールスバーグに脆弱性報告を提出した。
カールスバーグは、報告を10営業日以内に評価し、定期的に進捗更新も提供すると約束していたにもかかわらず、研究者の出来事の時系列によれば、同社が返答したのは11月11日になってからだった。
これは、約3か月前に報告した問題について、マンローがカールスバーグから聞いた最初で最後の連絡だった。返答の中でカールスバーグは、レート制限を適用して対処したとし、マンローに再テストを依頼した。
彼はそのとおり再テストを行い、リストバンドIDが依然として総当たり可能であることを確認して同様にカールスバーグへ報告したが、現時点までカールスバーグはマンローに返答していない。同社はまた、The Registerからの追加情報の要請にも応じなかった。
「12月に、開示ポリシーの開示部分についてZerocopterに再度問い合わせましたが、クライアントは『時間をかける権利がある』、そして『もう少し辛抱してほしい』と言われました」とマンローは語った。
「私の忍耐は模範的だったと思いますよ、Zerocopter。問題は、クライアントが連絡を避けるだけで公表を簡単に回避できてしまうことです。それは責任ある開示のやり方ではありません。ITセキュリティのやり方でもありません。」
この問題は依然として悪用可能だとマンローはThe Registerに語り、レート制限についても「効果的に適用されたようには見えない――APIに入れていないか、単に実装していないかのどちらかだ」と述べた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/16/carlsberg_experience_vulnerability/
