DHL-Paket-App: Notstopp wegen Sicherheitslücke

3 Minuten
DHL Paket App
Bildquelle: DHL
Wegen einer gravierenden Sicherheitslücke in der App "DHL Paket" hat das Logistikunternehmen die Übertragung der vierstelligen TAN in der App vorerst wieder ausgehebelt. Das Computermagazin "c't" deckte die Schwachstelle bereits vor zwei Wochen auf. DHL reagierte aber erst, nachdem c't den Selbstversuch wagte.

Kriminelle konnten sich durch geringen Aufwand Zugriff auf die Paketfächer von rund acht Millionen Packstation-Kunden verschaffen. Möglich machte dies eine Sicherheitslücke in der App „DHL Paket“, die der Sicherheitsexperte Hanno Heinrichs bereits Anfang Juni dem Computermagazin c’t mitgeteilt hatte. Kern der Lücke war die vierstellige mTAN, die DHL an den Packstationen fordert, wenn ein Kunde seine Lieferung abholen wollte. Bisher versendete DHL die TAN ausschließlich per SMS an seine Kunden – eine sehr sichere Methode zur Identifizierung. Der Aufwand, eine Handynummer zu hacken und die TAN-Nummer abzugreifen, ist relativ hoch. Einfacher machte DHL es Kriminellen nun mit der Einführung des TAN-Abrufs via App: Um die TAN in der App abzufangen, genügte es, die Kundendaten zu besitzen und sich die Sicherheitsnummer über die App anzeigen zu lassen.

Kundenkarte ist für Kriminelle kein Hindernis

Auch die Kundenkarte, die als zweite Absicherung dienen soll, ist seit Jahren nicht mehr sicher. Kriminelle erstellen schon seit längerer Zeit perfekte Klone der Kundenkarten, die von Packstationen ohne Probleme anerkannt werden. Um an die Kundendaten zu kommen benötigt man nicht einmal die Original-Karte, sondern gelangt über die Website Paket.de an die erforderlichen Informationen. Den Tätern geht es beim Kapern von Packstationen in erster Linie nicht um das Abfangen von Lieferungen, sondern um eine anonyme Möglichkeit, kriminelle Waren wie Waffen oder Drogen empfangen und versenden zu können. Im Darknet kursierte nach dem Experiment von c’t sogar eine Anleitung, wie man die Schwachstelle in der DHL-App ausnutzen und sich unbeschwert illegale Waren zuschieben kann.

DHL reagierte erst nach Ernstfall

Den Eigenversuch hat das Magazin jedoch nicht ohne vorherige Information über die Sicherheitslücke an DHL gewagt. Bereits Anfang Juni soll das Logistikunternehmen auf die Lücke in der neuen App-Version aufmerksam gemacht worden sein. Dieser antwortete allerdings, dass „durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko“ entstehe. Nachdem das Magazin die Sicherheitslücke erfolgreich ausgenutzt hatte, reagierte DHL mit einer Kehrtwende und erklärte acht Tage später, dass bereits „risikomindernde Maßnahmen“ getroffen worden seien. Am vergangenen Montag teilte das Unternehmen zudem mit, dass die Übertragung der TAN über die App vorerst abgeschaltet wurde. Man wolle die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird.

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

VERWANDTE NEWS