DHL schließt Sicherheitslücke bei Packstationen
DHL schließt Sicherheitslücke bei Packstationen
Bild: dpa
Kriminellen ist es gelungen, sich mit wenig Aufwand Zugang
zu Packstationen von DHL zu verschaffen. Möglich wurde dies durch
eine Sicherheitslücke, wie auf
heise.de berichtet wird.
Unbefugte hätten durch die Schwachstelle zum Beispiel fremde Pakete kapern oder sich illegal Waren auf
fremde Namen liefern lassen können. Im Fokus der Täter stand offenbar
auch die Bestellung von Drogen. DHL hat die Schwachstelle in der
Smartphone-App "DHL Paket" inzwischen geschlossen.
DHL schließt Sicherheitslücke bei Packstationen
Bild: dpa
Kern des Problems war demnach die vierstellige mTAN, die DHL seit
Juni nicht nur per SMS, sondern auch über eine entsprechende App an
die Kunden geschickt hatte. Während die Übertragung per SMS als
sicher gilt, war die Übertragung der vierstelligen Nummer über die
App vergleichsweise einfach abzufangen, da man dafür nur das Login
für das DHL-Konto benötigte. "Online-Ganoven, die im Besitz fremder
Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN",
berichtet Heise-Redakteur Roland Eikenberg. Für die zusätzlich
benötigte Kundenkarte würden "Kriminelle seit Jahren technisch
perfekte Karten-Klone" mit wenig Aufwand produzieren und zum Kauf
anbieten. Die dafür notwendigen Magnetkartenschreiber gibt es bereits
ab 140 Euro.
mTAN-Übertragung per App wieder abgestellt
"Heise online" sei von einem Sicherheitsexperten über die Lücke informiert worden. Die Redakteure konnten die Schwachstelle ohne Probleme bestätigen und informierten daraufhin vor zwei Wochen DHL. Zwar wurde das Problem seitens des Versandunternehmens zunächst bestritten, doch kam schon bald heraus, dass in Untergrund-Foren ein Werkzeug zum Ausnutzen der Lücke zum Kauf angeboten wurde. Daraufhin habe DHL die Übertragung der mTAN per App wieder abgestellt, hieß es.
"Wir haben die Push-Funktion für die mTAN in der App derzeit deaktiviert", bestätigte eine DHL-Sprecherin der Deutschen Presse-Agentur. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Bei Sicherheitschecks habe es keine Hinweise darauf gegeben, dass die mTAN-Übertragung in der App von Kriminellen ausgenutzt worden sei.