Wir freuen uns, bekannt geben zu können, dass wir einen Fehler in der Europa-Park-Distance-Radar App gefunden haben, der es Nutzern ermöglicht, alle Fastpass-Tickets für den jeweiligen Tag, in wenigen Sekunden durch fehlende Geolocation-Verifizierung und Zeitmessung zu erhalten.
Die Europa-Park-Distance-Radar App dient ursprünglich als Erinnerungs- und Motivationshilfe für Europa-Park-Besucher, die beim Besuch des Parks die geltenden Abstandsregeln (soziale Distanzierung) einhalten wollen. Die Nutzung der App ist freiwillig, aber es warten tolle Überraschungen in Form von Fastpass-Tickets auf diejenigen App-Nutzer, die sich rücksichtsvoll verhalten und die Abstandsregeln während ihres Besuchs einhalten.
Es gibt jedoch ein kleines Problem an der Sache...
Es wird der Bluetooth LE (Low Energy) Standard genutzt. Über die Signalstärke wird die Distanz zu anderen Smartphones gemessen. Jedes Smartphone, auf welchem die App installiert ist, sendet gleichzeitig als iBeacon, und scannt die Umgebung nach anderen Geräten.
Die App validiert die Einhaltung der Geolocation-Daten jedoch nur auf der Client-Seite und der Server führt zu keiner Zeit eine Validierung durch. Dies ermöglicht es uns, dem Server so viele API-Anfragen zur Erstellung von Lotterietickets zu schicken, bis die API mit einem Lotterieticket antwortet. Auf Serverseite ist dazu ein gewisser Prozentsatz deklariert.
Auf diese Weise ist es möglich, alle Lotterietickets des Tages in wenigen Sekunden zu generieren.
Mithilfe von Multithreading können diese Lotterietickets parallel abgerufen werden und sind so innerhalb weniger Sekunden vollständig generiert werden. Die generierten UUIDs aus den API-Callbacks werden dann nur noch zu QR-Code-Bildern umgewandelt und können letzendlich am Attraktionen-Eingang vorgezeigt werden und der Einlass wird gewährt (zumindest wenn die Mitarbeiter wissen, was sie mit dem QR-Code machen müssen "Nein! Fastline ist aktuell kaputt.." ?!).
Datenschutz ist schön und gut, wenn es aber damit alle technischen Absicherungen zum Manipulationsschutz wegfallen lässt, hätte man es wohl auch gesamt lassen können:
Datensicherheit und der Schutz der Privatsphäre der App-Nutzer sind entscheidend bei der Entwicklung dieser App. Wir stehen diesbezüglich im engen Austausch mit Experten und implementieren verschiedenste, technische Maßnahmen, um dies zu gewährleisten.
Die "Experten" waren wohl bei der theoretischen Planung aber nicht bei der praktischen Umsetzung anwesend.
Quelle: https://www.europapark.de/de/freizeitpark/distance-radar