Abo
  • Services:

App für Packstationen: DHL stoppt mTAN-Verfahren wegen Sicherheitslücke

Eine neue Funktion in einer Smartphone-App hat zu Sicherheitsproblemen bei DHL-Packstationen geführt. Kriminelle konnten sich offenbar auf einfache Weise Zugang zu Schließfächern verschaffen.

Artikel veröffentlicht am ,
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

Eine Neuerung beim mTAN-Verfahren der DHL-Packstationen hat zu einer schweren Sicherheitslücke geführt. Wie das Computermagazin c't berichtet, konnten sich Kriminelle mit Hilfe der Zugangsdaten der Postkunden relativ leicht Zugang zu Schließfächern an Packstationen verschaffen. Der Logistikkonzern habe das eigentlich sichere mTAN-Verfahren per SMS dadurch ausgehebelt, dass der vierstellige Zugangscode seit Juni auch über die Smartphone-App DHL Paket zugesendet werden konnte. Dadurch sei es deutlich einfacher geworden, die mTAN abzugreifen.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Hays AG, Frankfurt am Main

Laut c't reichte es dazu aus, einen Kundenaccount bei DHL zu übernehmen. Ein Zugriff auf die hinterlegte Handynummer sei nicht erforderlich gewesen. Die zur Abholung erforderlichen Kundenkarten seien zudem leicht zu klonen. Mit Magnetkartenschreibern erstellten sich Kriminelle seit Jahren Duplikate, die von den Packstationen problemlos akzeptiert würden. Dazu sei nicht einmal ein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten seien über das gehackte Konto bei paket.de abrufbar.

DHL stritt Probleme zunächst ab

Entdeckt hatte das Problem zunächst der Sicherheitsexperte Hanno Heinrichs. Das Unternehmen wiegelte dem Bericht zufolge zunächst ab, als es am 8. Juni auf die Sicherheitslücke hingewiesen worden war. DHL erklärte demnach, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe und fügte hinzu: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen." Nachdem in Untergrund-Foren jedoch ein Tool verkauft worden sei, mit dem die Sicherheitslücke ausgenutzt werden konnte, habe DHL reagiert. Der Logistiker erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

Am vergangenen Montag habe das Unternehmen schließlich mitgeteilt, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden solle. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen werde. Die Täter sollen gekaperte Konten weniger dazu nutzen, um Pakete aus den Packstationen zu stehlen. Vielmehr würden die Schließfächer genutzt, um sich illegale Waren wie Drogen auf fremde Namen liefern zu lassen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. 4,99€

Lemo 13. Jun 2017

Du Leichenfledderer, 1 Jahr später hier zu kommentieren... Mann... :D

Lala Satalin... 23. Jun 2016

Dann veröffentliche doch mal die Lücke.

tangobaer 22. Jun 2016

Falsch! Der Magnetstreifen enthält nur die Nutzerdaten von paket.de - bei meiner...

M.P. 22. Jun 2016

.... und die Urinproben der EM-Fußballer auf dem Weg ins Doping-Proben-Labor hätten...


Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /