home Panorama DHL Packstation: Sicherheitsleck in Smartphone-App ermöglichte Kriminellen Empfang illegaler Waren

DHL Packstation: Sicherheitsleck in Smartphone-App ermöglichte Kriminellen Empfang illegaler Waren

Packstationskunden, die die „DHL Paket“-App nutzen, um ihre Paketfächer zu öffnen, müssen derzeit ohne die gewohnte TAN-Funktion auskommen. Hintergrund ist ein Hack, der es Kriminellen ermöglichte, auf die Paketfächer zuzugreifen und sie für eigene Zwecke zu missbrauchen.

DHL Paket-App: Komfortfunktion als Schwachstelle

INFO-BOX:
DHL Packstation
Das Packstation-System wurde ab Ende 2001 von DHL aufgebaut, Pilotstädte waren Dortmund und Mainz. Aktuell gibt es bundesweit rund 6.500 Packstations-Automaten mit etwa 500.000 Fächern, an denen DHL-Kunden rund um die Uhr Sendungen abholen oder selbst einliefern können. Mitte 2018 lag die Zahl der für das System Packstation registrierten Kunden bei über zehn Millionen.
mehr dazu
Den Hackern gelang dies über eine Schwachstelle des TAN-Vergabesystems in der App, die von DHL als Komfortfunktion eingeführt worden war. Dieser vierstellige Code wird als Sicherheitssystem genutzt, damit nur berechtigte Personen Zugriff auf die Packstationen erhalten. Mussten sich Kunden vorher eine TAN per SMS zuschicken lassen, konnte diese nach Einführung der TAN-Funktion in DHL Paket auch über die App angefordert werden. Im Gegensatz zu einem per SMS versendeten Code ließ sich dieser offenbar abfangen und in Kombination mit den Zugangsdaten des Nutzers auch von Dritten zum Öffnen des Paketfachs verwenden. An die notwendigen Informationen konnten Kriminelle beispielsweise mithilfe von Keyloggern gelangen.

Ziel der Hacker war es offenbar nicht, die Pakete der legitimen Nutzer zu entwenden. Vielmehr war es ihnen möglich, weitestgehend risikolos illegale Waren wie etwa Drogen in Empfang zu nehmen. Hätten die Behörden eine solche Sendung abgefangen, wäre es am eigentlichen Besitzer des Fachs, dies zu erklären.

DHL schaltet TAN-Funktion ab

Über die Sicherheitslücke wurde DHL am 8. Juni informiert, sah aber anfangs keinen Grund zu handeln. Laut eines Berichts des Fachmagazins „c’t“ habe sich dies jedoch innerhalb einer Woche geändert. Experten des Unternehmens hätten in der Zwischenzeit ein Tool im sogenannten Darknet entdeckt, mit dem jeder die Lücke habe ausnutzen können. In den einschlägigen Foren seien neben der zum Kauf angebotenen Software auch einige positive Erfahrungsberichte gepostet worden. Daraufhin entschied sich DHL, die Lücke durch die Abschaltung des des TAN-Service in der DHL Paket-App zu schließen. Dort ist die Funktion zwar noch zu finden, will man sie nutzen, meldet das Programm allerdings, dass die Aktion aktuell nicht ausgeführt werden kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.