Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Ronald Eikenberg 543

DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten

DHL Packstation

Durch eine Sicherheitslücke konnten Online-Ganoven unnötig leicht auf die Paketfächer der rund acht Millionen Packstation-Nutzer zugreifen. Als DHL das Problem bestritt, hat c't es selbst versucht.

DHL hat eine Schwachstelle in seinen Packstationen geschlossen, auf die c't das Unternehmen vor rund zwei Wochen hingewiesen hatte. Durch die Lücke war es mit überschaubarem Aufwand möglich, fremde Paketfächer zu kapern. Das Versandunternehmen bestritt zunächst, dass ein erhöhtes Sicherheitsrisiko besteht. Nachdem die Lücke im Darknet vermarktet wurde, lenkte es jedoch ein.

Anzeige

Kern des Problems ist die vierstellige mTAN, welche die Packstationen beim Abholen einer Lieferung abfragen. Die mTAN hat DHL bisher ausschließlich per SMS an seine Kunden geschickt, nachdem Pakete für sie eingetroffen waren. Das war relativ sicher: Ein Angreifer, der einen Kundenaccount gekapert hatte, musste Zugriff auf die im Account hinterlegte Handynummer haben, um die mTAN empfangen zu können. Ansonsten blieb das Paketfach verschlossen. Es gibt zwar Wege, die hinterlegte Rufnummer zu ändern, dies ist aber mit Aufwand verbunden.

Anfang Juni hat DHL begonnen, die mTAN auch über die App "DHL Paket" auszuliefern. Die Kunden konnten sich den Abholcode seitdem innerhalb der App anzeigen lassen. Das brachte allerdings ein erhebliches Sicherheitsproblem mit sich: Denn auch Online-Ganoven, die im Besitz fremder Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN. Es war nicht länger nötig, Zugriff auf die hinterlegte Handynummer zu haben.

Zur Abholung ist neben der mTAN auch noch die DHL-Kundenkarte nötig. Diese ist allerdings nicht gegen Missbrauch geschützt. Mit Magnetkartenschreibern ab 140 Euro erstellen sich Kriminelle seit Jahren technisch perfekte Karten-Klone, die von den Packstationen klaglos akzeptiert werden. Um eine solche Karte zu erstellen, ist kein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten, die auf den Magnetstreifen geschrieben werden müssen – Vor-und Zuname des Kunden sowie dessen Kundennummer (Postnummer). sind über Paket.de abrufbar. Die Täter sind weniger darauf aus, Pakete aus den Packstationen zu stehlen, als sich illegale Waren wie Drogen auf fremden Namen liefern zu lassen. Fliegt eine Sendung auf, gerät erst mal der angegebene Empfänger in Erklärungsnot.

Entdeckt hat das Problem der Sicherheitsexperte Hanno Heinrichs, der sich damit wenige Tage nach Einführung der neuen Funktion an die c't-Redaktion wandte. c't konnte es sofort nachvollziehen, informierte DHL am 8. Juni über die Gefahr und empfahl, die betroffene Funktion umgehend abzuschalten, da durch die mTAN offensichtlich kein Schutz mehr gewährleistet war. DHL erklärte daraufhin überraschend, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe. Und: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen."

c't hat daraufhin überprüft, ob man durch die Lücke tatsächlich Pakete auf fremden Namen abholen kann – allein durch Kenntnis der Zugangsdaten. Die mTAN war schnell abgefangen und auch das Erstellen einer Magnetstreifenkarte war keine Hürde:

Selbstversuch: Sicherheitslücke in DHLs Packstationen

Acht Tage später meldete sich DHL erneut bei c't. Das Unternehmen war darauf aufmerksam geworden, dass in Untergrund-Foren mittlerweile ein Tool verkauft wurde, mit dem jedermann die Lücke ausnutzen konnte, um sich Pakete im Namen legitimer Packstation-Kunden liefern zu lassen. Dort fanden sich zu diesem Zeitpunkt auch zahlreiche Danksagungen zufriedener Käufer. DHL erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

Anzeige

DHL hatte jetzt offenbar Handlungsbedarf gesehen. Am Montag teilte das Unternehmen mit, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden soll. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Wer die betroffene Funktion der App derzeit aufruft, erhält lediglich den Hinweis, dass "der Bereich Packstation" nicht zur Verfügung steht.

Die vollständige Geschichte mit weiteren Hintergründen finden Sie in der kommenden c't 14/16, die ab Samstag am Kiosk liegt. Abonnenten finden die Ausgabe bereits Freitag im Briefkasten. (rei)

543 Kommentare

Themen:

Anzeige
  1. Pilotprojekt: DHL bringt auch Hermes-Pakete

    DHL-Bote

    In einem Pilotprojekt liefert DHL in Köln und Bonn auch Pakete von anderen Logistikdienstleistern aus – so landen erstmals etwa Hermes-Pakete in der Packstation. Auf Wunsch sollen die Kunden alle Paketsendungen mit DHL erhalten.

  2. Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt

    Mobilfunk-Antennen

    Kriminelle Hacker haben Konten von deutschen Bankkunden über Sicherheitslücken im Mobilfunknetz ausgeräumt, die seit Jahren bekannt sind. Eigentlich wollten die Provider schon 2014 entsprechende Gegenmaßnahmen ergreifen.

  3. Amazon Locker: Mehr Abholstationen für Kunden des Online-Händlers

    Amazon

    Der Online-Händler Amazon hat inzwischen seine den DHL-Packstationen nachempfundenen Locker an 180 Standorten in Betrieb genommen. Kunden können dort jederzeit Lieferungen entgegennehmen.

  4. 31 lückenhafte Banking-Apps: Forscher entlarven App-TAN-Verfahren abermals als unsicher

    Angriff auf 31 Onlinebanking-Apps: Forscher untermauern Unsicherheit des App-TAN-Verfahrens

    Sicherheitsforscher zeigen eine nicht ganz triviale Methode auf, über die Angreifer Online-Banking-Apps manipulieren könnten. Auch in Deutschland sind Banken betroffen.

  1. Hintergründe des Packstation-Hacks

    Hintergründe des Packstation-Hacks

    Mit gefälschter Kundenkarte und einer App konnten Angreifer DHL-Packstationen übernehmen. c't hat die Lücke nachvollzogen und zeigt, warum der Hack bis vor kurzem so leicht war.

  2. DHL: Experimente bitte!

    DHL: Experimente bitte!

    Die Deutsche Post baut ein zweites Werk für ihre Elektrolieferwagen Streetscooter. Nicht nur mit dem Vorstoß zur Elektromobilität geht der Logistiker neue Wege. Auch in vielen anderen Bereichen ist der vermeintlich langsame Konzern weiter als etwa Amazon.

  3. Elektroschrott einfach und bequem entsorgen

    Elektroschrott einfach und bequem entsorgen

    Große Händler müssen Elektroschrott kostenlos zurücknehmen. Aber was, wie und wo genau? Wir erklären, wie Sie Ihre alten Geräte ohne großen Aufwand loswerden.

  1. Test: Citroёn C3 Aircross BlueHDI 100

    Citroen C3 Aircross

    Mit dem C3 Aircross will Citroёn ein Stück vom boomenden Mini-SUV-Segment mit hochgebockten Frontantriebskleinwagen abhaben. Der expressive Franzose soll besonders komfortabel und praktisch sein. Kann er das im Alltag bestätigen?

  2. Breitbandausbau: Bauern klagen über langsames Internet

    LTE auf dem Land

    Langsames Internet, schlechtes Mobilfunknetz – das ist auf dem Land oft noch Alltag. Auch für Landwirte ist das ein Problem. Der Bauernverband fordert die Bundesregierung zu mehr Anstrengungen auf.

  3. Private Videoüberwachung: Illegaler Einsatz ist strafbar

    Überwachung im Innenhof: Beschwerden von Nachbarn nehmen zu

    Private Überwachungskameras hängen in Hauseingängen oder an Balkonen, filmen den Innenhof oder Besucher im Hausflur. Immer mehr Menschen sehen sich dadurch belästigt. Berlins Datenschutzbeauftragte bekommt es zu spüren.

  4. Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Weltuntergangsszenarien sind en vogue, wenn die Stichworte Künstliche Intelligenz und Roboter fallen. Die Machtergreifung der Maschinen aber findet bereits statt. Dabei ist eine Mensch-Maschine-Beziehung möglich, die uns von entfremdeter Arbeit befreit.

Anzeige