Security: DHL schließt Lücke in Packstationen

Bis Anfang Juni war es zum Zugriff auf ein Paket in einer DHL-Packstation nötig, einen per SMS erhaltenen Zugriffscode einzugeben, was im Wesentlich einer Zwei-Faktor-Authentifizierung entspricht - ein Angreifer musste demnach das Mobiltelefon in den Besitz bringen oder die hinterlegte Nummer ändern.

DHL erlaubte es schließlich, sich den Bestätigungscode auch direkt in der "DHL Paket"-App anzeigen zu lassen und auch die Chip-Kundenkarte lässt sich problemlos aus den über das Onlineprofil einsehbaren Daten anfertigen. Somit genügte es praktisch, nur die Zugangsdaten für das DHL-Kundenkonto abzugreifen, um Paketsendungen zu stehlen.

Diebstahl war allerdings offenbar nicht das Motiv für die Ausnutzung der Sicherheitslücke, vielmehr soll es um das Empfangen von illegalen Sendungen und insbesondere Drogen gegangen sein.

Dazu wurde ein entsprechendes Tool zur Ausnutzung der Lücke bereits im Darknet verkauft. DHL hat die Möglichkeit zur Authentifizierung direkt in der App deshalb abgestellt - nachdem das Problem rund eine Woche ignoriert wurde. 

Erstelle einen neuen Thread im News-Forum über dieses Thema
Dieser Thread ist für Kommentare geschlossen
2 Kommentare
Im Forum kommentieren
    Dein Kommentar
  • capparezza
    Naja, "schließt Lücke" ist jetzt etwas pompös betitelt. Geschlossen wurde ja nichts, die entsprechende Funktion, die TAN in der App abzurufen, wurde einfach wieder abgedreht. Das hätte so nie Live gehen dürfen...
    0
  • klomax
    Die App wurde vor ein paar Wochen noch fröhlich beworben. - Als Nutzer der Paketstation hab ich gleich "Nein" gedacht.
    0