Technik

Unsichere Push-Funktion DHL-Packstationen waren leicht zu kapern

ed84b5d67767e2be1bc0e848c97bb566.jpg

Kriminelle konnten DHL-Packstationen leicht kapern.

(Foto: dpa)

Eine neue App-Funktion macht die Packstationen von DHL unsicher. Diebe können mit wenig Aufwand fremde Fächer öffnen. Dabei sollte die Schwachstelle eigentlich mehr Komfort für die Kunden bringen.

Eine erst vor Kurzem eingeführte Funktion in einer Smartphone-App stellt sich für den Paketzusteller DHL als Sicherheitsrisiko heraus. Kriminelle konnten sich mit wenig Aufwand durch eine Lücke Zugang zu Packstationen von DHL verschaffen. Das berichtet die Computerzeitschrift "c't". Demnach hätten Unbefugte zum Beispiel fremde Pakete stehlen oder auch illegal Drogen auf fremde Namen liefern lassen können. DHL hat die Schwachstelle in der Smartphone-App "DHL Paket" inzwischen geschlossen.

Kern des Problems war laut dem Bericht die vierstellige mTAN, die DHL seit Juni nicht nur per SMS, sondern auch über eine entsprechende App an die Kunden geschickt hatte - eigentlich ein Zugewinn an Komfort, der sich aber schnell als tückisch herausstellte. Denn während die Übertragung per SMS als sicher gilt, war die Übertragung der vierstelligen Nummer über die App vergleichsweise einfach abzufangen, da man dafür nur das Login für das DHL-Konto benötigte, nicht aber die Handy-Nummer der Betroffenen.

Ganoven hatten leichtes Spiel

"Online-Ganoven, die im Besitz fremder Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN", berichtet Heise-Redakteur Roland Eikenberg. Für die zusätzlich zur Abholung eines Pakets benötigte Kundenkarte würden "Kriminelle seit Jahren technisch perfekte Karten-Klone" mit wenig Aufwand produzieren und zum Kauf anbieten. Dazu reiche es, alle erforderlichen Daten vom gehackten Konot bei paket.de abzurufen.

"Heise online" sei von einem Sicherheitsexperten über die Lücke informiert worden. Die Redakteure konnten die Schwachstelle ohne Probleme bestätigen und informierten daraufhin DHL. Der Dienst wollte zuerst kein Sicherheitsrisiko erkennen. Nachdem aber herauskam, dass in Untergrund-Foren ein Werkzeug zum Ausnutzen der Lücke zum Kauf angeboten wurde, habe DHL reagiert und die Übertragung der mTAN per App wieder abgestellt, hieß es.

"Wir haben die Push-Funktion für die mTAN in der App derzeit deaktiviert", bestätigte eine DHL-Sprecherin. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Bei Sicherheitschecks habe es keine Hinweise darauf gegeben, dass die mTAN-Übertragung in der App von Kriminellen ausgenutzt worden sei.

Quelle: n-tv.de, jwa/dpa