|
 |
Sicherheitsluecke bei der DHL-Online-Paketverfolgung
Veröffentlicht am Mittwoch, 05.November von Redaktion
Ein Datenleck im Portal für Online-Paketverfolgung bei DHL macht es möglich das unbefugte innerhalb der "Track & Trace Standard-Paket" Funktion sensible Kundendaten wie Name, Anschrift und Lieferzeit praktisch Sekundenschnell auslesen konnten. Für die Panne sollen schwache Passwörter verantwortlich sein. Es wird berichtet, dass DHL die fehlerhafte Funktion kurzfristig abschalten will.
Der Fehler wurde durch simples Ausprobieren entdeckt. Indem ein Link in einer E-Mail eines Online-Shops angeklickt wurde sah man nicht nur die Lieferadresse seines eigenen Paketes, sondern auch noch von mehreren anderen DHL-Kunden. Zu den fremden Adressen konnte man auch sehen zu welchem Zeitpunkt die Pakete angenommen wurden.
Weiter wurde bekannt, dass mit weiteren Tests in einem Shellskript innerhalb kürzester Zeit hunderte weiterer Adressen zu sehen waren. Dem Tester war es mit einem anderen Linux-Skript sogar möglich mehrere hundert Versender zu identifizieren und auch ihre Kunden zu ermitteln.
Scheinbar benutzten alle ein von DHL vergebenes Standardpasswort, denn alle gaben das gleiche Passwort ein.
Es sieht so aus als könne jeder nur halbwegs technisch begabte User fremde Kundendaten ausspionieren wenn er von DHL eine Mail zur "Online-Paketverfolgung" für sein Paket erhält.
Allerdings klappt das nur wenn das DHL-Passwort von dem Shop-Betreiber nicht verändert wird.
Kommentar:
|
|  |
|
