THEMEN

Sicherheitsluecke bei der DHL-Online-Paketverfolgung
Veröffentlicht am Mittwoch, 05.November 2008 von Redaktion


Ein Datenleck im Portal für Online-Paketverfolgung bei DHL macht es möglich das unbefugte innerhalb der "Track & Trace Standard-Paket" Funktion sensible Kundendaten wie Name, Anschrift und Lieferzeit praktisch Sekundenschnell auslesen konnten. Für die Panne sollen schwache Passwörter verantwortlich sein. Es wird berichtet, dass DHL die fehlerhafte Funktion kurzfristig abschalten will.



Der Fehler wurde durch simples Ausprobieren entdeckt. Indem ein Link in einer E-Mail eines Online-Shops angeklickt wurde sah man nicht nur die Lieferadresse seines eigenen Paketes, sondern auch noch von mehreren anderen DHL-Kunden. Zu den fremden Adressen konnte man auch sehen zu welchem Zeitpunkt die Pakete angenommen wurden.

Weiter wurde bekannt, dass mit weiteren Tests in einem Shellskript innerhalb kürzester Zeit hunderte weiterer Adressen zu sehen waren. Dem Tester war es mit einem anderen Linux-Skript sogar möglich mehrere hundert Versender zu identifizieren und auch ihre Kunden zu ermitteln.

Scheinbar benutzten alle ein von DHL vergebenes Standardpasswort, denn alle gaben das gleiche Passwort ein. Es sieht so aus als könne jeder nur halbwegs technisch begabte User fremde Kundendaten ausspionieren wenn er von DHL eine Mail zur "Online-Paketverfolgung" für sein Paket erhält. Allerdings klappt das nur wenn das DHL-Passwort von dem Shop-Betreiber nicht verändert wird.






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Kaspersky
NETGATE