Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

DHL-Packstationen hatten bis vor Kurzem eine schwere Sicherheitslücke

von Benedikt Plass-Fleßenkämper
Was als neue Komfortfunktion für Kunden der DHL-Packstationen gedacht war, ist kräftig nach hinten losgegangen: Hacker konnten eine schwere Sicherheitslücke in der Paket-App ausnutzen und sich Zugang zu den Paketfächern der Packstation-Nutzer verschaffen. DHL hat das Problem mittlerweile behoben.

Weil DHL bei seinen Packstationen eine eklatante Sicherheitslücke hatte, konnten Hacker auf die Paketfächer der rund acht Millionen Nutzer des Angebots zugreifen. Den Vorgang aufgedeckt haben der Sicherheitsexperte Hanno Heinrichs und das Computermagazin c't, das in seiner ab Samstag erhältlichen Ausgabe ausführlich über den Vorfall berichtet.

Wer die Packstationen von DHL nutzt, benötigt eine vierstellige sogenannte mTan, um seine gelieferte Sendung aus dem Schließfach entnehmen zu können. Bislang schickte DHL diese mTan ausschließlich per SMS an seine Kunden. Ein recht sicheres System: Angreifer, die ein Kundenkonto gehackt hatten, konnten diese SMS nur empfangen, wenn sie Zugriff auf die im Account hinterlegte Handynummer hatten. Und diese zu ändern, ist bei DHL mit einigem Aufwand verbunden.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Doch seit Anfang Juni hatte DHL damit begonnen, mTans auch in der App DHL Paket auszuliefern. Diese durch ein Update eingeführte Möglichkeit war als gut gemeinte Komfortfunktion gedacht, die DHL jetzt aber mächtig Ärger einbringt. Denn wie Hanno Heinrichs schnell herausfand, war es für Hacker ein Leichtes, die mTans aus der App abzufangen. Zusätzlich benötigten die Kriminellen eine DHL-Kundenkarte. Und wie c't schreibt, lassen sich mit Magnetkartenschreibern „technisch perfekte Karten-Klone herstellen, die von den Packstationen klaglos akzeptiert werden“.

Heinrichs wandte sich am 8. Juni an c't und wies auf die Sicherheitslücke hin, woraufhin das Magazin DHL mit dem Problem konfrontierte und empfahl, „die betroffene Funktion umgehend abzuschalten“. Das Unternehmen habe allerdings zuerst keinen Handlungsbedarf gesehen und erklärt, dass „durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko“ entstehe, so die Zeitschrift.

Erst nach gut einer Woche gab DHL dann doch zu, dass die Sicherheitslücke schwerwiegender war als gedacht. Nachdem im Darknet schon Tools angeboten worden seien, „mit dem jedermann die Lücke ausnutzen konnte, um sich Pakete im Namen legitimer Packstation-Kunden liefern zu lassen“, habe DHL eingelenkt, schreibt c't. DHL habe erklärt, „risikomindernde Maßnahmen“ ergriffen zu haben, „die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren.“

Die mTan-Übertragung aus der DHL-Paket-App werde man aus Sicherheitsgründen abschalten und „die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird“, teilte DHL der Zeitschrift mit. 

GQ Empfiehlt
Beim WADA-Hack geht es nicht um Sport

Beim WADA-Hack geht es nicht um Sport

von Joely Ketterer