Open Source im professionellen Einsatz
Linux-Magazin 01/2010
© Anatoly Vartanov, Fotolia.com

© Anatoly Vartanov, Fotolia.com

Weitere Paketdienste mit Datenlecks

Angriff auf Pakete

,

"Bitte hier unterschreiben!" - und schon hat der DPD-Kunde sein Paket in der Hand. Weniger praktisch ist, dass 50 Zeilen Shellskript reichen, um dem DPD-Server Name, Unterschrift und volle Adresse jedes Kunden zu entlocken. Deswegen zu UPS zu wechseln bringt nichts - die haben ein ähnliches Problem.

638

Jeder Logistik-Dienstleister bietet heute seinen Kunden an, verschickte Sendungen im Internet zu verfolgen. Es ist sowohl für Absender wie Empfänger nützlich zu sehen, ob das bestellte Büromaterial schon auf dem Weg ist oder wann der Paketdienst die heiß ersehnte DVD endlich liefert. Einige Unternehmen nehmen es dabei nicht so genau mit der Privatsphäre ihrer Kunden, so deckte das Linux-Magazin im vergangenen Jahr auf, dass DHL Paketnummern mehrfach verwendete und damit personenbezogene Daten preisgab [1].

Statusabfrage bei DPD

Nun zeigt sich, dass auch andere Anbieter ähnliche Schwachstellen aufweisen. Das ursprünglich von deutschen Spediteuren gegründete DPD ist heute mehrheitlich im Besitz der französischen La Poste, der ehemals staatlichen Post von Frankreich, und transportiert täglich rund zwei Millionen Pakete [2]. Kunden erhalten bei Aufgabe einer Sendung eine Paketschein-Nummer, mit der sie auf der Website des Unternehmens deren Status abfragen (siehe Abbildung 1).

Abbildung 1: Mit einer Paketschein-Nummer dürfen Kunden den Status ihrer Sendung abfragen.

Die Site zeigt die einzelnen Stationen an, die ein bereits zugestelltes Paket genommen hat, in der letzten Zeile findet sich schließlich auch der Name des Empfängers. Darüber steht eine DPD-Ablieferungsnachweis-Nummer, mit der der Logistiker offenbar die elektronischen Belege verwaltet, die der Empfänger bei Auslieferung typischerweise auf einem kleinen Touchpad gegenzeichnet, und die DPD sechs Monate aufbewahrt. Den Nachweis dürfen jedoch nur autorisierte Mitarbeiter abrufen, das Webtool fordert dazu eine per Htaccess gesicherte Authentisierung (Abbildung 2).

Abbildung 2: Indem Angreifer die Endung ».acl« aus der URL entfernen, erhalten sie Zugriff auf eine eigentlich geschützte Seite.

Zusätzlich stehen in den Parametern der URL die Nummer des entgegennehmenden Depots (0184), Zustelltag (2204) und -jahr (2009), die angefragte Ablieferungsnachweis-Nummer (83028) sowie einige Prüfziffern. Da die Anwendung auf die Zieladresse jedoch mit reinem HTTP zugreift, gehen Benutzername und Passwort unverschlüsselt über das Internet. Die lieben Kollegen, durchaus aber auch im eigenen Netz oder bei einem ISP mitsniffende Black-Hats oder durch die TKÜV "berechtigten Stellen" bekommen beim Aufruf also die Credentials mit.

Da eine Modifikation der Ziel-URL auch ohne Passwort zu den gleichen Daten führt, öffnet sich das Datenleck jedoch für alle! Wer den Teilstring ».acl« aus der Adressangabe entfernt, erhält vom Sun One Webserver von 2004 der Version 6.1 die Informationen auch ohne Legitimationsprüfung, wie Abbildung 3 zeigt. So erfahren wissbegierige Anwender mit einer Trackingnummer weitere sensible Informationen über die Versandstücke, indem sie auf den Link »Zustellbeleg anzeigen« klicken.

Abbildung 3: Um den Auslieferungsnachweis anzuzeigen, fordert das Skript »delistrack.acl« per Htaccess vom User eine Authentisierung. Den dazu notwendigen Benutzernamen und das Passwort überträgt die Anwendung allerdings im Klartext. DPD verwendet für die Applikation Webserver von Sun.

Gezieltes Raten

Die resultierende Tiff-Datei unter der URL [http://extranet.dpd.de/podtmp/onlineweb125571938266919110.tif] trägt einen automatisch generierten Dateinamen (Abbildung 4). Die ersten 13 Stellen der Folge sind die Unix-Zeit in Millisekunden seit dem Unix-Epoch im Januar 1970, die letzten fünf Stellen sind fortlaufend, das ergibt 10 Millionen Dateinamen für jede Sekunde. Wenn DPD tatsächlich täglich von 8 bis 18 Uhr zwei Millionen Pakete ausliefert, sind das durchschnittlich 56 Lieferungen pro Sekunde. 56 valide Dateinamen aus 10 Millionen herauszufischen erscheint für ein Skript eine lösbare, wenn auch eine mühsame Aufgabe, zumal es bei den Tests zu diesem Artikel keine Limits bei Häufigkeit und Frequenz der Abfragen gab.

Abbildung 4: Die Zustellbelege enthalten neben dem Namen des Fahrers und dem Zeitpunkt der Entgegennahme auch die Adresse des Empfängers sowie seine Unterschrift.

Wenn also die Belegnummern nur aufwändig zu erraten sind, wie ist es dann um die Paketschein-Nummern selbst bestellt? Sie bestehen aus 14 Ziffern, wobei die ersten vier jeweils für ein Zustelldepot stehen. Bleiben also zehn Stellen oder 10 Milliarden Kombinationen. Die reichen bei einer unveränderten Anzahl täglich ausgelieferter Pakete für immerhin mehr als 13 Jahre, verausgesetzt dass DPD alle Nummern vergibt und sie damit leicht erratbar sind.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Leserbriefe
  • Schöne Bescherung

    Die Sendungsverfolgung des Paketdienstes DHL ist unsauber programmiert und verrät weit mehr als nur den aktuellen Status der eigenen Päckchen. Ein Linux-Magazin-Autor ist bei einer privaten Bestellung auf fremde Empfänger gestoßen. Simple Skripte genügten, und DHL überhäufte ihn mit Datengeschenken.

  • Linux-Magazin findet Leck bei DHL-Paketverfolgung

    Namen, Adressen und Lieferzeiten sind beim "Track & Trace Standard-Paket" von DHL praktisch schutzlos - diese Entdeckung beschreibt Linux-Magazin-Autor Tobias Eggendorfer in der Linux-Magazin Ausgabe 12/2008, die am 6. November erscheint.

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.