Dalla descrizione che ho visto finora c'è un numero di 16 cifre associato a una descrizione del prodotto e scadono i dati. Dato che la descrizione del prodotto è molto più lunga di questa, questo numero è solo la chiave in qualche database, quindi può essere un numero casuale.
Dato che i produttori devono aggiungere questo numero in qualche modo al loro prodotto, probabilmente acquisteranno una grande quantità di numeri unici pre-assegnati e una volta che il produttore ha associato un numero specifico con un prodotto specifico e una data di scadenza (e forse più informazioni) invierà questi dati insieme al numero pre-assegnato. Una volta che il numero è associato al prodotto, è possibile che il binding non venga più modificato, vale a dire che i numeri non possono essere riutilizzati.
Lo scopo dell'attaccante sarà probabilmente quello di associare i propri prodotti con numeri così validati. L'utente malintenzionato potrebbe provare ad aggiungere i propri numeri ai prodotti contraffatti. Ma a causa dell'enorme quantità di numero possibile, la possibilità di ottenere un numero che è già associato a un prodotto è vicino allo zero. E il tentativo di forza bruta di un numero così grande contro un sito Web pubblico (che potrebbe implementare la limitazione dei tassi) non avrà altrettanto successo. È più probabile che l'attaccante causi un attacco denial of service quando tenta di invalidare i numeri su una scala enorme, ma non perché i numeri si esauriscano ma perché il carico è troppo alto per il sito web di validazione.
L'attaccante potrebbe anche provare a ottenere numeri usati per i prodotti originali e metterli sui prodotti contraffatti. Ma questo può essere sconfitto se ogni verifica viene registrata e la successiva verifica dello stesso numero mostra una cronologia delle convalide precedenti. Così si può vedere rapidamente se il numero è in realtà un numero originale o un numero copiato.
L'attaccante potrebbe anche provare ad acquistare numeri e associarli con l'originale anziché con il prodotto falso. Ma suppongo che gli account aziendali utilizzati per acquistare tali numeri siano associati al nome dell'azienda e dei suoi prodotti e che solo questa società sia in grado di associare qualsiasi numero acquistato con i prodotti delle società.
... Mass random numbers can be tested and could be expired very easily. Even original products or consumer items will be declared faked as a result of it to the people who will test it latter.
Se il sistema è implementato come ho descritto, non vedo nessuno di questi attacchi il più possibile.