【安全资讯】嘉士伯体验中心腕带ID可暴力破解，导致访客数据泄露

概要：

在数字化体验日益普及的今天，企业收集的客户数据安全面临严峻考验。近期，安全研究人员披露，丹麦啤酒巨头嘉士伯（Carlsberg）在其哥本哈根体验中心使用的访客腕带系统存在严重安全漏洞，导致大量访客的个人照片和姓名面临泄露风险。这一事件凸显了即使是看似简单的互动系统，若缺乏足够的安全防护，也可能成为数据泄露的源头。

主要内容：

安全研究人员Alan Monie在参观嘉士伯体验中心后发现，用于下载参观照片的腕带ID存在设计缺陷。该ID由字母和数字组成，有效期30天，但仅有约2600万种可能组合，使得暴力破解成为可能。

Monie利用Burp Suite工具分析发现，腕带ID被转换为十六进制字符串后，直接通过嘉士伯网站API调用即可获取对应访客的图片。仅用一台笔记本电脑，他在两小时内就暴力破解了100万个ID组合，并验证了其中约500个有效ID。

根据推算，每30天约有13,000名访客使用该互动系统，他们的姓名、照片和视频均可能被未授权访问。这些个人信息属于欧盟《通用数据保护条例》（GDPR）的保护范畴，此次泄露构成了合规风险。

尽管Monie在8月就通过Zerocopter平台向嘉士伯报告了漏洞，但公司反应迟缓，直至11月才首次回应称已实施速率限制。然而，复测显示漏洞依然存在，暴力破解仍可进行。截至报道时，该安全问题仍未得到有效修复。