Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 543

DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten

DHL Packstation

Durch eine Sicherheitslücke konnten Online-Ganoven unnötig leicht auf die Paketfächer der rund acht Millionen Packstation-Nutzer zugreifen. Als DHL das Problem bestritt, hat c't es selbst versucht.

DHL hat eine Schwachstelle in seinen Packstationen geschlossen, auf die c't das Unternehmen vor rund zwei Wochen hingewiesen hatte. Durch die Lücke war es mit überschaubarem Aufwand möglich, fremde Paketfächer zu kapern. Das Versandunternehmen bestritt zunächst, dass ein erhöhtes Sicherheitsrisiko besteht. Nachdem die Lücke im Darknet vermarktet wurde, lenkte es jedoch ein.

App "DHL Paket": mTAN ausgehebelt

Kern des Problems ist die vierstellige mTAN, welche die Packstationen beim Abholen einer Lieferung abfragen. Die mTAN hat DHL bisher ausschließlich per SMS an seine Kunden geschickt, nachdem Pakete für sie eingetroffen waren. Das war relativ sicher: Ein Angreifer, der einen Kundenaccount gekapert hatte, musste Zugriff auf die im Account hinterlegte Handynummer haben, um die mTAN empfangen zu können. Ansonsten blieb das Paketfach verschlossen. Es gibt zwar Wege, die hinterlegte Rufnummer zu ändern, dies ist aber mit Aufwand verbunden.

Anfang Juni hat DHL begonnen, die mTAN auch über die App "DHL Paket" auszuliefern. Die Kunden konnten sich den Abholcode seitdem innerhalb der App anzeigen lassen. Das brachte allerdings ein erhebliches Sicherheitsproblem mit sich: Denn auch Online-Ganoven, die im Besitz fremder Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN. Es war nicht länger nötig, Zugriff auf die hinterlegte Handynummer zu haben.

Kundenkarte schützt nicht

Zur Abholung ist neben der mTAN auch noch die DHL-Kundenkarte nötig. Diese ist allerdings nicht gegen Missbrauch geschützt. Mit Magnetkartenschreibern ab 140 Euro erstellen sich Kriminelle seit Jahren technisch perfekte Karten-Klone, die von den Packstationen klaglos akzeptiert werden. Um eine solche Karte zu erstellen, ist kein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten, die auf den Magnetstreifen geschrieben werden müssen – Vor-und Zuname des Kunden sowie dessen Kundennummer (Postnummer). sind über Paket.de abrufbar. Die Täter sind weniger darauf aus, Pakete aus den Packstationen zu stehlen, als sich illegale Waren wie Drogen auf fremden Namen liefern zu lassen. Fliegt eine Sendung auf, gerät erst mal der angegebene Empfänger in Erklärungsnot.

DHL wiegelt ab, c't probiert aus

Entdeckt hat das Problem der Sicherheitsexperte Hanno Heinrichs, der sich damit wenige Tage nach Einführung der neuen Funktion an die c't-Redaktion wandte. c't konnte es sofort nachvollziehen, informierte DHL am 8. Juni über die Gefahr und empfahl, die betroffene Funktion umgehend abzuschalten, da durch die mTAN offensichtlich kein Schutz mehr gewährleistet war. DHL erklärte daraufhin überraschend, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe. Und: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen."

c't hat daraufhin überprüft, ob man durch die Lücke tatsächlich Pakete auf fremden Namen abholen kann – allein durch Kenntnis der Zugangsdaten. Die mTAN war schnell abgefangen und auch das Erstellen einer Magnetstreifenkarte war keine Hürde:

Plötzliche Einsicht

Acht Tage später meldete sich DHL erneut bei c't. Das Unternehmen war darauf aufmerksam geworden, dass in Untergrund-Foren mittlerweile ein Tool verkauft wurde, mit dem jedermann die Lücke ausnutzen konnte, um sich Pakete im Namen legitimer Packstation-Kunden liefern zu lassen. Dort fanden sich zu diesem Zeitpunkt auch zahlreiche Danksagungen zufriedener Käufer. DHL erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

DHL hatte jetzt offenbar Handlungsbedarf gesehen. Am Montag teilte das Unternehmen mit, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden soll. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Wer die betroffene Funktion der App derzeit aufruft, erhält lediglich den Hinweis, dass "der Bereich Packstation" nicht zur Verfügung steht.

Die vollständige Geschichte mit weiteren Hintergründen finden Sie in der kommenden c't 14/16, die ab Samstag am Kiosk liegt. Abonnenten finden die Ausgabe bereits Freitag im Briefkasten. (rei)

543 Kommentare

Themen:

Anzeige
  1. Packstation: DHL schaltet mTAN-Abruf per App wieder scharf

    Packstation: DHL schaltet mTAN-Abruf per App wieder scharf

    Im Juni erleichterte eine neue Funktion der DHL-App den Missbrauch der Packstationen enorm. Diese Funktion ist jetzt wieder aktiv – in überarbeiteter Form. Ein per SMS zugestellter Aktivierungscode soll das Sicherheitsproblem lösen.

  2. Mit App und falscher Goldcard: Der Packstation-Hack im Detail

    Mit Goldcard und mTAN: Der Packstation-Hack im Detail

    Mit gefälschten Kundenkarten und der DHL-App konnten Angreifer fremde Packstationen übernehmen. Wie einfach das war, zeigt ein Hintergrundartikel der c't.

  3. Kommentar: Security-Fails mit Ansage

    Hacker, Code, Security, Sicherheit

    c't hatte zwei trivial ausnutzbare Sicherheitslücken aufgedeckt, die in Packstationen und vernetzten Alarmanlagen klafften. So weit hätte es nicht kommen müssen - und auch nicht dürfen, kommentiert Ronald Eikenberg.

  4. Paketbutler: Telekom will vernetzte Lieferbox bundesweit anbieten

    Paketbutler: Telekom will vernetzte Lieferbox bundesweit anbieten

    Bisher gab es die Box für Lieferungen in Abwesenheit nur in Hamburg, München, Köln und Bonn. Ab Mitte dieses Monats und pünktlich zum Weihnachtsgeschäft soll sich das ändern.

  1. Hintergründe des Packstation-Hacks

    Hintergründe des Packstation-Hacks

    Mit gefälschter Kundenkarte und einer App konnten Angreifer DHL-Packstationen übernehmen. c't hat die Lücke nachvollzogen und zeigt, warum der Hack bis vor kurzem so leicht war.

  2. Elektroschrott einfach und bequem entsorgen

    Elektroschrott einfach und bequem entsorgen

    Große Händler müssen Elektroschrott kostenlos zurücknehmen. Aber was, wie und wo genau? Wir erklären, wie Sie Ihre alten Geräte ohne großen Aufwand loswerden.

  3. DHL: Experimente bitte!

    DHL: Experimente bitte!

    Die Deutsche Post baut ein zweites Werk für ihre Elektrolieferwagen Streetscooter. Nicht nur mit dem Vorstoß zur Elektromobilität geht der Logistiker neue Wege. Auch in vielen anderen Bereichen ist der vermeintlich langsame Konzern weiter als etwa Amazon.

  1. SSD-Langzeittest beendet: Exitus bei 9,1 Petabyte

    SSD-Langzeittest beendet: Exitus bei 9,3 PByte

    Am 23. Juni 2016 starteten wir einen SSD-Langzeittest, um zu ermitteln, wie lange die schnellen Flash-Laufwerke wirklich halten. Fast auf den Tag genau ein Jahr später hat sich das letzte Laufwerk verabschiedet – nach 9,1 PByte an geschriebenen Daten.

  2. Schwimmbad als Handy-freie Zone?

    Fotoverbot im Schwimmbad

    Sollen Handys in Schwimmbäder generell verboten werden? Das fordern die sächsischen Datenschützer. Dem Verband für das Badewesen geht ein allgemeines Verbot allerdings zu weit.

  3. Untertassen aus dem Weltall: Vor 70 Jahren geht UFO-Sichtung um die Welt

    Vor 70 Jahren: Untertassen aus dem Weltall

    Am 24. Juni 1947 überflog Kenneth Arnold mit seinem Eindecker den US-Staat Washington. Vor dem Mount Rainier sah er neun flache Objekte schneller als der Schall. Sein Bericht rief die Fliegenden Untertassen ins Leben, die immer noch unterwegs sind.

  4. Deutlich höhere Kosten für Noteingriffe ins Stromnetz

    Deutlich höhere Kosten für Noteingriffe ins Stromnetz

    Weil die ungleiche regionale Windverteilung die Stromnetze über die Maßen beansprucht, sorgen Netzbetreiber wie Tennet beziehungsweise deren Manager für reichlich Druck, damit es zum zügigen Netzausbau kommt.

Anzeige