Liefery: Erratbare Trackingnummern bei Versand-Startup

Die meisten Lieferservices erlauben ihren Kunden heutzutage, den Status von Sendungen online abzufragen. Bei Liefery waren die zugehörigen Sendungsnummern sehr kurz - und ließen sich trivial erraten.

Artikel veröffentlicht am , Hanno Böck
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus.
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus. (Bild: Website Liefery/Screenshot: Golem.de)

Die Frankfurter Firma Liefery versucht, sich als Konkurrent zu klassischen Paketservices zu etablieren und bringt Versandhändler und Lieferanten zusammen. Dabei arbeitet Liefery mit großen Marken wie Zalando, Amazon und Media Markt zusammen und liefert Produkte noch am selben Tag aus.

Stellenmarkt
  1. SAP S4 HANA / ABAP Developer (w/m/d)
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. IT-Beratung & Support für Baustellen und Konzernstandorte (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Berlin
Detailsuche

Kunden von Liefery können sich auf der Webseite des Unternehmens über den aktuellen Stand von Lieferungen informieren. Die Berliner Softwareentwickler Benny Neugebauer und Peter Heise wiesen Golem.de dabei auf eine Sicherheitslücke hin: Die Sendungsnummer bestand nur aus einer fünfstelligen Zahlen- und Buchstabenkombination. Damit lassen sich mit relativ geringem Aufwand gültige Sendungsnummern erraten.

Gültige Sendungsnummer nach etwa tausend Versuchen

Die Liefery-Webseite fragt dabei im Hintergrund eine JSON-API nach der Sendungsnummer ab. Diese JSON-API kann man auch manuell ansteuern. Bei einer ungültigen Sendungsnummer wird ein leeres JSON zurückgegeben. Bei einem Test stießen wir nach etwa tausend Versuchen mit zufällig generierten Buchstaben-Zahlen-Kombinationen auf eine gültige Sendungsnummer. Innerhalb von Minuten lassen sich also gültige Sendungsnummern finden. Ein Rate-Limit, das die Zahl der Versuche begrenzt, konnten wir nicht feststellen.

Mit einer gültigen Sendungsnummer erhält man auf der Webseite jedoch nur eingeschränkte Informationen über eine Lieferung. Allerdings kann man durch die Angabe der Postleitzahl deutlich detailliertere Informationen abfragen. Die Postleitzahl lässt sich ebenfalls leicht herausfinden. Da Liefery nur in einigen wenigen Städten tätig ist, kann man die Suche auf wenige Postleitzahlengebiete eingrenzen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Mit einer gültigen Sendungsnummer und der passenden Postleitzahl lassen sich sehr genaue Informationen über eine Sendung abrufen: Die Adresse und Telefonnummer des Senders und Empfängers, ebenso Informationen über den Lieferanten und in einigen Fällen auch einen Ort, an dem ein Paket abgelegt werden soll, wenn der Empfänger nicht zu Hause ist. Ein gravierendes Datenschutzproblem.

Längere Sendungsnummern sollen helfen

Nachdem Golem.de Liefery über diese Sicherheitslücke informiert hatte, hat man dort einige Änderungen vorgenommen. Die wichtigste: Die Sendungsnummern sind nun zehnstellig, ein Erraten ist damit deutlich unwahrscheinlicher. Weiterhin lassen sich selbst mit einer gültigen Sendungsnummer Postleitzahlen nicht mehr erraten: Nach drei fehlgeschlagenen Versuchen wird die Detailansicht für eine Sendung gesperrt. Zudem hat Liefery die Rate Limits verschärft und den Zeitraum, in dem Sendungsinformationen eingesehen werden können, verkürzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

olleIcke 02. Jun 2017

Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D Hut ab!

olleIcke 02. Jun 2017

Find ich auch!1 Einer der seltenen Erfolgsberichte dieser Art Natürlich hätte...

Apfelbrot 02. Jun 2017

Lies halt einfach mal den Kommentar auf den du gerade geantwortet hast...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /