Abo
  • Services:

App für Packstationen: DHL stoppt mTAN-Verfahren wegen Sicherheitslücke

Eine neue Funktion in einer Smartphone-App hat zu Sicherheitsproblemen bei DHL-Packstationen geführt. Kriminelle konnten sich offenbar auf einfache Weise Zugang zu Schließfächern verschaffen.

Artikel veröffentlicht am ,
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

Eine Neuerung beim mTAN-Verfahren der DHL-Packstationen hat zu einer schweren Sicherheitslücke geführt. Wie das Computermagazin c't berichtet, konnten sich Kriminelle mit Hilfe der Zugangsdaten der Postkunden relativ leicht Zugang zu Schließfächern an Packstationen verschaffen. Der Logistikkonzern habe das eigentlich sichere mTAN-Verfahren per SMS dadurch ausgehebelt, dass der vierstellige Zugangscode seit Juni auch über die Smartphone-App DHL Paket zugesendet werden konnte. Dadurch sei es deutlich einfacher geworden, die mTAN abzugreifen.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Laut c't reichte es dazu aus, einen Kundenaccount bei DHL zu übernehmen. Ein Zugriff auf die hinterlegte Handynummer sei nicht erforderlich gewesen. Die zur Abholung erforderlichen Kundenkarten seien zudem leicht zu klonen. Mit Magnetkartenschreibern erstellten sich Kriminelle seit Jahren Duplikate, die von den Packstationen problemlos akzeptiert würden. Dazu sei nicht einmal ein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten seien über das gehackte Konto bei paket.de abrufbar.

DHL stritt Probleme zunächst ab

Entdeckt hatte das Problem zunächst der Sicherheitsexperte Hanno Heinrichs. Das Unternehmen wiegelte dem Bericht zufolge zunächst ab, als es am 8. Juni auf die Sicherheitslücke hingewiesen worden war. DHL erklärte demnach, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe und fügte hinzu: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen." Nachdem in Untergrund-Foren jedoch ein Tool verkauft worden sei, mit dem die Sicherheitslücke ausgenutzt werden konnte, habe DHL reagiert. Der Logistiker erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

Am vergangenen Montag habe das Unternehmen schließlich mitgeteilt, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden solle. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen werde. Die Täter sollen gekaperte Konten weniger dazu nutzen, um Pakete aus den Packstationen zu stehlen. Vielmehr würden die Schließfächer genutzt, um sich illegale Waren wie Drogen auf fremde Namen liefern zu lassen.



Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 9 Duos N960F/DS 128 GB für 699€ inkl. Direktabzug und Apple iPhone XS...
  2. 55,70€
  3. (aktuell u. a. Corsair Gaming M65 Pro RGB als neuwertiger Outlet-Artikel für 29,99€ + Versand...
  4. (nur für Prime-Mitglieder)

Lemo 13. Jun 2017

Du Leichenfledderer, 1 Jahr später hier zu kommentieren... Mann... :D

Lala Satalin... 23. Jun 2016

Dann veröffentliche doch mal die Lücke.

tangobaer 22. Jun 2016

Falsch! Der Magnetstreifen enthält nur die Nutzerdaten von paket.de - bei meiner...

M.P. 22. Jun 2016

.... und die Urinproben der EM-Fußballer auf dem Weg ins Doping-Proben-Labor hätten...


Folgen Sie uns
       


Dell XPS 13 (9380) - Hands on (CES 2019)

Wir haben uns Dells neues XPS 13 auf der CES 2019 angesehen.

Dell XPS 13 (9380) - Hands on (CES 2019) Video aufrufen
Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /