Open Source im professionellen Einsatz

Linux-Magazin findet Leck bei DHL-Paketverfolgung

03.11.2008

Namen, Adressen und Lieferzeiten sind beim "Track & Trace Standard-Paket" von DHL praktisch schutzlos - diese Entdeckung beschreibt Linux-Magazin-Autor Tobias Eggendorfer in der Linux-Magazin Ausgabe 12/2008, die am 6. November erscheint.

239

Der promovierte Computerexperte staunte nicht schlecht, als er den Link zur Sendungsverfolgung in der E-Mail eines Onlineshops anklickte: Sein Internetbrowser zeigte nicht nur die Lieferadresse seines eigenen Pakets, sondern auch noch die Adressen zweier weiterer DHL-Kunden. Auch bekam er zu sehen, wann die Personen genau ihr Paket entgegengenommen haben, also zu Hause waren.

Eggendorfer schrieb ein kleines Shellskript und extrahierte mit zufälligen Paketnummern in Sekunden Hunderte weitere Adressen. Das war so leicht, weil der Link in der Mail ein unverschlüsselte Passwort enthielt.
Alle so gefundenen Adressen gehörten Kunden eines Versenders - dem, von dem auch der Linux-Magazin-Autor sein Paket empfangen hatte. Mit einem weiteren Linux-Skript konnte er sogar die Zugangsdaten mehrerer hundert weiterer Versender identifizieren und deren Kunden ermitteln, denn auch diese Firmen benutzen das identische Passwort, offenbar ein von DHL vergebenes Standardpasswort.

Das Linux-Magazin informierte DHL vor Veröffentlichung des Artikels in Ausgabe 12/2008. In einer Stellungnahme bestreitet das Unternehmen zunächst das Vorhandensein einer Sicherheitslücke. Viel mehr liege "ein 'Versehen' des Shopbetreibers vor, indem er seinem Käufer einen Zugriff auf seine interne Sendungsverwaltung zur Verfügung gestellt hat."
Dass solche "Versehen" keine Einzelfälle sind, und seine Systeme die eigentliche Ursache des Problems bilden, scheint der Logistikkonzern jedoch zu ahnen. Denn die Stellungnahme schließt mit: "Zum Schutz unserer Kunden ist zur Drucklegung [des Linux-Magazins] eine Benachrichtigung erfolgt [...]. Weiterhin wird diese Funktion zur internen Sendungsverwaltung deaktiviert sein."

Ähnliche Artikel

  • Cebit 2009: Security-Experte erläutert Sicherheitslücken in Websites

    In seinem Vortrag im Open Source Forum der Cebit demonstriert am Samstagnachmittag der Security-Experte Tobias Eggendorfer Sicherheitslücken in Web-Anwendungen.

  • Schöne Bescherung

    Die Sendungsverfolgung des Paketdienstes DHL ist unsauber programmiert und verrät weit mehr als nur den aktuellen Status der eigenen Päckchen. Ein Linux-Magazin-Autor ist bei einer privaten Bestellung auf fremde Empfänger gestoßen. Simple Skripte genügten, und DHL überhäufte ihn mit Datengeschenken.

  • Angriff auf Pakete

    "Bitte hier unterschreiben!" - und schon hat der DPD-Kunde sein Paket in der Hand. Weniger praktisch ist, dass 50 Zeilen Shellskript reichen, um dem DPD-Server Name, Unterschrift und volle Adresse jedes Kunden zu entlocken. Deswegen zu UPS zu wechseln bringt nichts - die haben ein ähnliches Problem.

  • Spam-Boykott

    Antispam-Firmen, die selber spammen, welche, die das Medium E-Mail nicht verstehen, und solche, die ihre Appliance nur mit Begleitschutz aus dem Haus lassen: Anekdoten aus dem Testlabor.

  • 1 Billion Kombinationen

    Eine Firma veröffentlicht eine vorgeblich skandalöse Sicherheitslücke im E-Mail-Dienst von T-Online, Web.deund anderen Providern. Wer das Marketing-Gedöns beiseite schiebt und technischen Sachverstand walten lässt, erkennt: Alles alter Nippes.

comments powered by Disqus

Ausgabe 12/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.