Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 543

DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten

DHL Packstation

Durch eine Sicherheitslücke konnten Online-Ganoven unnötig leicht auf die Paketfächer der rund acht Millionen Packstation-Nutzer zugreifen. Als DHL das Problem bestritt, hat c't es selbst versucht.

DHL hat eine Schwachstelle in seinen Packstationen geschlossen, auf die c't das Unternehmen vor rund zwei Wochen hingewiesen hatte. Durch die Lücke war es mit überschaubarem Aufwand möglich, fremde Paketfächer zu kapern. Das Versandunternehmen bestritt zunächst, dass ein erhöhtes Sicherheitsrisiko besteht. Nachdem die Lücke im Darknet vermarktet wurde, lenkte es jedoch ein.

App "DHL Paket": mTAN ausgehebelt

Kern des Problems ist die vierstellige mTAN, welche die Packstationen beim Abholen einer Lieferung abfragen. Die mTAN hat DHL bisher ausschließlich per SMS an seine Kunden geschickt, nachdem Pakete für sie eingetroffen waren. Das war relativ sicher: Ein Angreifer, der einen Kundenaccount gekapert hatte, musste Zugriff auf die im Account hinterlegte Handynummer haben, um die mTAN empfangen zu können. Ansonsten blieb das Paketfach verschlossen. Es gibt zwar Wege, die hinterlegte Rufnummer zu ändern, dies ist aber mit Aufwand verbunden.

Anfang Juni hat DHL begonnen, die mTAN auch über die App "DHL Paket" auszuliefern. Die Kunden konnten sich den Abholcode seitdem innerhalb der App anzeigen lassen. Das brachte allerdings ein erhebliches Sicherheitsproblem mit sich: Denn auch Online-Ganoven, die im Besitz fremder Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN. Es war nicht länger nötig, Zugriff auf die hinterlegte Handynummer zu haben.

Kundenkarte schützt nicht

Zur Abholung ist neben der mTAN auch noch die DHL-Kundenkarte nötig. Diese ist allerdings nicht gegen Missbrauch geschützt. Mit Magnetkartenschreibern ab 140 Euro erstellen sich Kriminelle seit Jahren technisch perfekte Karten-Klone, die von den Packstationen klaglos akzeptiert werden. Um eine solche Karte zu erstellen, ist kein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten, die auf den Magnetstreifen geschrieben werden müssen – Vor-und Zuname des Kunden sowie dessen Kundennummer (Postnummer). sind über Paket.de abrufbar. Die Täter sind weniger darauf aus, Pakete aus den Packstationen zu stehlen, als sich illegale Waren wie Drogen auf fremden Namen liefern zu lassen. Fliegt eine Sendung auf, gerät erst mal der angegebene Empfänger in Erklärungsnot.

DHL wiegelt ab, c't probiert aus

Entdeckt hat das Problem der Sicherheitsexperte Hanno Heinrichs, der sich damit wenige Tage nach Einführung der neuen Funktion an die c't-Redaktion wandte. c't konnte es sofort nachvollziehen, informierte DHL am 8. Juni über die Gefahr und empfahl, die betroffene Funktion umgehend abzuschalten, da durch die mTAN offensichtlich kein Schutz mehr gewährleistet war. DHL erklärte daraufhin überraschend, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe. Und: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen."

c't hat daraufhin überprüft, ob man durch die Lücke tatsächlich Pakete auf fremden Namen abholen kann – allein durch Kenntnis der Zugangsdaten. Die mTAN war schnell abgefangen und auch das Erstellen einer Magnetstreifenkarte war keine Hürde:

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Selbstversuch: Sicherheitslücke in DHLs Packstationen

Plötzliche Einsicht

Acht Tage später meldete sich DHL erneut bei c't. Das Unternehmen war darauf aufmerksam geworden, dass in Untergrund-Foren mittlerweile ein Tool verkauft wurde, mit dem jedermann die Lücke ausnutzen konnte, um sich Pakete im Namen legitimer Packstation-Kunden liefern zu lassen. Dort fanden sich zu diesem Zeitpunkt auch zahlreiche Danksagungen zufriedener Käufer. DHL erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

DHL hatte jetzt offenbar Handlungsbedarf gesehen. Am Montag teilte das Unternehmen mit, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden soll. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Wer die betroffene Funktion der App derzeit aufruft, erhält lediglich den Hinweis, dass "der Bereich Packstation" nicht zur Verfügung steht.

Die vollständige Geschichte mit weiteren Hintergründen finden Sie in der kommenden c't 14/16, die ab Samstag am Kiosk liegt. Abonnenten finden die Ausgabe bereits Freitag im Briefkasten. (rei)

543 Kommentare

Themen:

Anzeige
  1. Paketbutler: Telekom will vernetzte Lieferbox bundesweit anbieten

    Paketbutler: Telekom will vernetzte Lieferbox bundesweit anbieten

    Bisher gab es die Box für Lieferungen in Abwesenheit nur in Hamburg, München, Köln und Bonn. Ab Mitte dieses Monats und pünktlich zum Weihnachtsgeschäft soll sich das ändern.

  2. Pilotprojekt: DHL bringt auch Hermes-Pakete

    DHL-Bote

    In einem Pilotprojekt liefert DHL in Köln und Bonn auch Pakete von anderen Logistikdienstleistern aus – so landen erstmals etwa Hermes-Pakete in der Packstation. Auf Wunsch sollen die Kunden alle Paketsendungen mit DHL erhalten.

  3. Amazon Locker: Mehr Abholstationen für Kunden des Online-Händlers

    Amazon

    Der Online-Händler Amazon hat inzwischen seine den DHL-Packstationen nachempfundenen Locker an 180 Standorten in Betrieb genommen. Kunden können dort jederzeit Lieferungen entgegennehmen.

  4. Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt

    Mobilfunk-Antennen

    Kriminelle Hacker haben Konten von deutschen Bankkunden über Sicherheitslücken im Mobilfunknetz ausgeräumt, die seit Jahren bekannt sind. Eigentlich wollten die Provider schon 2014 entsprechende Gegenmaßnahmen ergreifen.

  1. Hintergründe des Packstation-Hacks

    Hintergründe des Packstation-Hacks

    Mit gefälschter Kundenkarte und einer App konnten Angreifer DHL-Packstationen übernehmen. c't hat die Lücke nachvollzogen und zeigt, warum der Hack bis vor kurzem so leicht war.

  2. DHL: Experimente bitte!

    DHL: Experimente bitte!

    Die Deutsche Post baut ein zweites Werk für ihre Elektrolieferwagen Streetscooter. Nicht nur mit dem Vorstoß zur Elektromobilität geht der Logistiker neue Wege. Auch in vielen anderen Bereichen ist der vermeintlich langsame Konzern weiter als etwa Amazon.

  3. Elektroschrott einfach und bequem entsorgen

    Elektroschrott einfach und bequem entsorgen

    Große Händler müssen Elektroschrott kostenlos zurücknehmen. Aber was, wie und wo genau? Wir erklären, wie Sie Ihre alten Geräte ohne großen Aufwand loswerden.

  1. Nach dem Scheitern von "Jamaika": Politisches Neuland

    Sondierungsgespräche: Der FDP reißt der Geduldsfaden, sie lässt die Regierungsbildung scheitern. Deutschland in der Krise

  2. Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Gute Bilder brauchen nicht immer spektakläre Foto-Locations Manchmal tut es auch eine Außentreppe, eine U-Bahn-Station oder eine Bahnunterführung.

Anzeige