Abo
  • Services:
Anzeige
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

App für Packstationen: DHL stoppt mTAN-Verfahren wegen Sicherheitslücke

Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

Eine neue Funktion in einer Smartphone-App hat zu Sicherheitsproblemen bei DHL-Packstationen geführt. Kriminelle konnten sich offenbar auf einfache Weise Zugang zu Schließfächern verschaffen.

Eine Neuerung beim mTAN-Verfahren der DHL-Packstationen hat zu einer schweren Sicherheitslücke geführt. Wie das Computermagazin c't berichtet, konnten sich Kriminelle mit Hilfe der Zugangsdaten der Postkunden relativ leicht Zugang zu Schließfächern an Packstationen verschaffen. Der Logistikkonzern habe das eigentlich sichere mTAN-Verfahren per SMS dadurch ausgehebelt, dass der vierstellige Zugangscode seit Juni auch über die Smartphone-App DHL Paket zugesendet werden konnte. Dadurch sei es deutlich einfacher geworden, die mTAN abzugreifen.

Anzeige

Laut c't reichte es dazu aus, einen Kundenaccount bei DHL zu übernehmen. Ein Zugriff auf die hinterlegte Handynummer sei nicht erforderlich gewesen. Die zur Abholung erforderlichen Kundenkarten seien zudem leicht zu klonen. Mit Magnetkartenschreibern erstellten sich Kriminelle seit Jahren Duplikate, die von den Packstationen problemlos akzeptiert würden. Dazu sei nicht einmal ein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten seien über das gehackte Konto bei paket.de abrufbar.

DHL stritt Probleme zunächst ab

Entdeckt hatte das Problem zunächst der Sicherheitsexperte Hanno Heinrichs. Das Unternehmen wiegelte dem Bericht zufolge zunächst ab, als es am 8. Juni auf die Sicherheitslücke hingewiesen worden war. DHL erklärte demnach, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe und fügte hinzu: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen." Nachdem in Untergrund-Foren jedoch ein Tool verkauft worden sei, mit dem die Sicherheitslücke ausgenutzt werden konnte, habe DHL reagiert. Der Logistiker erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

Am vergangenen Montag habe das Unternehmen schließlich mitgeteilt, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden solle. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen werde. Die Täter sollen gekaperte Konten weniger dazu nutzen, um Pakete aus den Packstationen zu stehlen. Vielmehr würden die Schließfächer genutzt, um sich illegale Waren wie Drogen auf fremde Namen liefern zu lassen.


eye home zur Startseite
Lala Satalin... 23. Jun 2016

Dann veröffentliche doch mal die Lücke.

tangobaer 22. Jun 2016

Falsch! Der Magnetstreifen enthält nur die Nutzerdaten von paket.de - bei meiner...

tangobaer 22. Jun 2016

Bin selbst damals Opfer einer Phishingattacke gewesen - damals reichte die Karte und eine...

M.P. 22. Jun 2016

.... und die Urinproben der EM-Fußballer auf dem Weg ins Doping-Proben-Labor hätten...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. über Jobware Personalberatung, Home Office und München
  3. T-Systems International GmbH, Leinfelden-Echterdingen
  4. Deutsche Telekom AG, Frankfurt am Main, Bonn


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. UFC 2 für 19,99€ u. Der Hobbit 1, 2 & 3 Steelbook für...
  2. 368,99€
  3. 680,54€

Folgen Sie uns
       


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

  1. Re: Locky mit .odin Dateierweiterung

    Thinney | 03:52

  2. Technikgläubigkeit...

    B.I.G | 03:03

  3. Re: Bandbreitendiebstahl?

    MaxBub | 02:56

  4. Re: und nun?

    GenXRoad | 02:26

  5. Re: Hyperloop BUSTED!

    Eheran | 02:20


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel