Abo
  • IT-Karriere:

Liefery: Erratbare Trackingnummern bei Versand-Startup

Die meisten Lieferservices erlauben ihren Kunden heutzutage, den Status von Sendungen online abzufragen. Bei Liefery waren die zugehörigen Sendungsnummern sehr kurz - und ließen sich trivial erraten.

Artikel veröffentlicht am , Hanno Böck
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus.
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus. (Bild: Website Liefery/Screenshot: Golem.de)

Die Frankfurter Firma Liefery versucht, sich als Konkurrent zu klassischen Paketservices zu etablieren und bringt Versandhändler und Lieferanten zusammen. Dabei arbeitet Liefery mit großen Marken wie Zalando, Amazon und Media Markt zusammen und liefert Produkte noch am selben Tag aus.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, Meckenheim, München
  2. Hays AG, Bonn

Kunden von Liefery können sich auf der Webseite des Unternehmens über den aktuellen Stand von Lieferungen informieren. Die Berliner Softwareentwickler Benny Neugebauer und Peter Heise wiesen Golem.de dabei auf eine Sicherheitslücke hin: Die Sendungsnummer bestand nur aus einer fünfstelligen Zahlen- und Buchstabenkombination. Damit lassen sich mit relativ geringem Aufwand gültige Sendungsnummern erraten.

Gültige Sendungsnummer nach etwa tausend Versuchen

Die Liefery-Webseite fragt dabei im Hintergrund eine JSON-API nach der Sendungsnummer ab. Diese JSON-API kann man auch manuell ansteuern. Bei einer ungültigen Sendungsnummer wird ein leeres JSON zurückgegeben. Bei einem Test stießen wir nach etwa tausend Versuchen mit zufällig generierten Buchstaben-Zahlen-Kombinationen auf eine gültige Sendungsnummer. Innerhalb von Minuten lassen sich also gültige Sendungsnummern finden. Ein Rate-Limit, das die Zahl der Versuche begrenzt, konnten wir nicht feststellen.

Mit einer gültigen Sendungsnummer erhält man auf der Webseite jedoch nur eingeschränkte Informationen über eine Lieferung. Allerdings kann man durch die Angabe der Postleitzahl deutlich detailliertere Informationen abfragen. Die Postleitzahl lässt sich ebenfalls leicht herausfinden. Da Liefery nur in einigen wenigen Städten tätig ist, kann man die Suche auf wenige Postleitzahlengebiete eingrenzen.

Mit einer gültigen Sendungsnummer und der passenden Postleitzahl lassen sich sehr genaue Informationen über eine Sendung abrufen: Die Adresse und Telefonnummer des Senders und Empfängers, ebenso Informationen über den Lieferanten und in einigen Fällen auch einen Ort, an dem ein Paket abgelegt werden soll, wenn der Empfänger nicht zu Hause ist. Ein gravierendes Datenschutzproblem.

Längere Sendungsnummern sollen helfen

Nachdem Golem.de Liefery über diese Sicherheitslücke informiert hatte, hat man dort einige Änderungen vorgenommen. Die wichtigste: Die Sendungsnummern sind nun zehnstellig, ein Erraten ist damit deutlich unwahrscheinlicher. Weiterhin lassen sich selbst mit einer gültigen Sendungsnummer Postleitzahlen nicht mehr erraten: Nach drei fehlgeschlagenen Versuchen wird die Detailansicht für eine Sendung gesperrt. Zudem hat Liefery die Rate Limits verschärft und den Zeitraum, in dem Sendungsinformationen eingesehen werden können, verkürzt.



Anzeige
Hardware-Angebote
  1. 289€
  2. 469€
  3. (reduzierte Überstände, Restposten & Co.)

olleIcke 02. Jun 2017

Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D Hut ab!

olleIcke 02. Jun 2017

Find ich auch!1 Einer der seltenen Erfolgsberichte dieser Art Natürlich hätte...

Apfelbrot 02. Jun 2017

Lies halt einfach mal den Kommentar auf den du gerade geantwortet hast...


Folgen Sie uns
       


Dell XPS 13 (7390) - Hands on

Das XPS 13 Convertible (7390) ist Dells neues 360-Grad-Gerät: Es nutzt Ice-Lake-Chips für doppelte Geschwindigkeit, hat ein höher auflösendes Display, eine nach oben versetzte Kamera und eine magnetisch arbeitende Tastatur.

Dell XPS 13 (7390) - Hands on Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
    Ocean Discovery X Prize
    Autonome Fraunhofer-Roboter erforschen die Tiefsee

    Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
    Ein Bericht von Werner Pluta

    1. JAB Code Bunter Barcode gegen Fälschungen

    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

      •  /