Abo
  • Services:
Anzeige
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

App für Packstationen: DHL stoppt mTAN-Verfahren wegen Sicherheitslücke

Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar.
Diese Funktion ist in der DHL-App vorerst nicht mehr verfügbar. (Bild: Deutsche Post)

Eine neue Funktion in einer Smartphone-App hat zu Sicherheitsproblemen bei DHL-Packstationen geführt. Kriminelle konnten sich offenbar auf einfache Weise Zugang zu Schließfächern verschaffen.

Eine Neuerung beim mTAN-Verfahren der DHL-Packstationen hat zu einer schweren Sicherheitslücke geführt. Wie das Computermagazin c't berichtet, konnten sich Kriminelle mit Hilfe der Zugangsdaten der Postkunden relativ leicht Zugang zu Schließfächern an Packstationen verschaffen. Der Logistikkonzern habe das eigentlich sichere mTAN-Verfahren per SMS dadurch ausgehebelt, dass der vierstellige Zugangscode seit Juni auch über die Smartphone-App DHL Paket zugesendet werden konnte. Dadurch sei es deutlich einfacher geworden, die mTAN abzugreifen.

Anzeige

Laut c't reichte es dazu aus, einen Kundenaccount bei DHL zu übernehmen. Ein Zugriff auf die hinterlegte Handynummer sei nicht erforderlich gewesen. Die zur Abholung erforderlichen Kundenkarten seien zudem leicht zu klonen. Mit Magnetkartenschreibern erstellten sich Kriminelle seit Jahren Duplikate, die von den Packstationen problemlos akzeptiert würden. Dazu sei nicht einmal ein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten seien über das gehackte Konto bei paket.de abrufbar.

DHL stritt Probleme zunächst ab

Entdeckt hatte das Problem zunächst der Sicherheitsexperte Hanno Heinrichs. Das Unternehmen wiegelte dem Bericht zufolge zunächst ab, als es am 8. Juni auf die Sicherheitslücke hingewiesen worden war. DHL erklärte demnach, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe und fügte hinzu: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen." Nachdem in Untergrund-Foren jedoch ein Tool verkauft worden sei, mit dem die Sicherheitslücke ausgenutzt werden konnte, habe DHL reagiert. Der Logistiker erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."

Am vergangenen Montag habe das Unternehmen schließlich mitgeteilt, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden solle. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen werde. Die Täter sollen gekaperte Konten weniger dazu nutzen, um Pakete aus den Packstationen zu stehlen. Vielmehr würden die Schließfächer genutzt, um sich illegale Waren wie Drogen auf fremde Namen liefern zu lassen.


eye home zur Startseite
Lemo 13. Jun 2017

Du Leichenfledderer, 1 Jahr später hier zu kommentieren... Mann... :D

Lala Satalin... 23. Jun 2016

Dann veröffentliche doch mal die Lücke.

tangobaer 22. Jun 2016

Falsch! Der Magnetstreifen enthält nur die Nutzerdaten von paket.de - bei meiner...

M.P. 22. Jun 2016

.... und die Urinproben der EM-Fußballer auf dem Weg ins Doping-Proben-Labor hätten...



Anzeige

Stellenmarkt
  1. Consors Finanz, München
  2. Bechtle Onsite Services GmbH, Weissach nahe Stuttgart
  3. Hannover Rück SE, Hannover
  4. expert SE, Langenhagen


Anzeige
Spiele-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (-28%) 42,99€
  3. (u. a. Elex 44,99€, Witcher 3 GotY 19,95€)

Folgen Sie uns
       


  1. Verbraucherzentrale

    Regulierungsfreiheit für Glasfaser bringt Preissteigerung

  2. WW2

    Kostenpflichtige Profispieler für Call of Duty verfügbar

  3. Firefox Nightly Build 58

    Firefox warnt künftig vor Webseiten mit Datenlecks

  4. Limux-Ende

    München beschließt 90 Millionen für IT-Umbau

  5. Chiphersteller

    Broadcom erhöht Druck bei feindlicher Übernahme von Qualcomm

  6. Open Access

    Konkurrenten wollen FTTH-Ausbau mit der Telekom

  7. Waipu TV

    Produkte aus Werbeblock direkt bei Amazon bestellen

  8. Darpa

    US-Militär will Pflanzen als Schadstoffsensoren einsetzen

  9. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  10. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Für Legacy Addon manuell umgestellen?

    DebugErr | 01:12

  2. Re: Ein Blick in die Kugel verät mir ...

    TeK | 01:10

  3. Re: München ein Beispiel wie man es nicht macht...

    Niaxa | 01:09

  4. Re: Remotedesktop und gut ist

    GaliMali | 01:04

  5. Re: und warum??? Weil binbash shell und so ein kack

    Niaxa | 01:02


  1. 18:40

  2. 17:44

  3. 17:23

  4. 17:05

  5. 17:04

  6. 14:39

  7. 14:24

  8. 12:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel