Abo
  • IT-Karriere:

Liefery: Erratbare Trackingnummern bei Versand-Startup

Die meisten Lieferservices erlauben ihren Kunden heutzutage, den Status von Sendungen online abzufragen. Bei Liefery waren die zugehörigen Sendungsnummern sehr kurz - und ließen sich trivial erraten.

Artikel veröffentlicht am , Hanno Böck
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus.
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus. (Bild: Website Liefery/Screenshot: Golem.de)

Die Frankfurter Firma Liefery versucht, sich als Konkurrent zu klassischen Paketservices zu etablieren und bringt Versandhändler und Lieferanten zusammen. Dabei arbeitet Liefery mit großen Marken wie Zalando, Amazon und Media Markt zusammen und liefert Produkte noch am selben Tag aus.

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. über Kienbaum Consultants International GmbH, Stuttgart

Kunden von Liefery können sich auf der Webseite des Unternehmens über den aktuellen Stand von Lieferungen informieren. Die Berliner Softwareentwickler Benny Neugebauer und Peter Heise wiesen Golem.de dabei auf eine Sicherheitslücke hin: Die Sendungsnummer bestand nur aus einer fünfstelligen Zahlen- und Buchstabenkombination. Damit lassen sich mit relativ geringem Aufwand gültige Sendungsnummern erraten.

Gültige Sendungsnummer nach etwa tausend Versuchen

Die Liefery-Webseite fragt dabei im Hintergrund eine JSON-API nach der Sendungsnummer ab. Diese JSON-API kann man auch manuell ansteuern. Bei einer ungültigen Sendungsnummer wird ein leeres JSON zurückgegeben. Bei einem Test stießen wir nach etwa tausend Versuchen mit zufällig generierten Buchstaben-Zahlen-Kombinationen auf eine gültige Sendungsnummer. Innerhalb von Minuten lassen sich also gültige Sendungsnummern finden. Ein Rate-Limit, das die Zahl der Versuche begrenzt, konnten wir nicht feststellen.

Mit einer gültigen Sendungsnummer erhält man auf der Webseite jedoch nur eingeschränkte Informationen über eine Lieferung. Allerdings kann man durch die Angabe der Postleitzahl deutlich detailliertere Informationen abfragen. Die Postleitzahl lässt sich ebenfalls leicht herausfinden. Da Liefery nur in einigen wenigen Städten tätig ist, kann man die Suche auf wenige Postleitzahlengebiete eingrenzen.

Mit einer gültigen Sendungsnummer und der passenden Postleitzahl lassen sich sehr genaue Informationen über eine Sendung abrufen: Die Adresse und Telefonnummer des Senders und Empfängers, ebenso Informationen über den Lieferanten und in einigen Fällen auch einen Ort, an dem ein Paket abgelegt werden soll, wenn der Empfänger nicht zu Hause ist. Ein gravierendes Datenschutzproblem.

Längere Sendungsnummern sollen helfen

Nachdem Golem.de Liefery über diese Sicherheitslücke informiert hatte, hat man dort einige Änderungen vorgenommen. Die wichtigste: Die Sendungsnummern sind nun zehnstellig, ein Erraten ist damit deutlich unwahrscheinlicher. Weiterhin lassen sich selbst mit einer gültigen Sendungsnummer Postleitzahlen nicht mehr erraten: Nach drei fehlgeschlagenen Versuchen wird die Detailansicht für eine Sendung gesperrt. Zudem hat Liefery die Rate Limits verschärft und den Zeitraum, in dem Sendungsinformationen eingesehen werden können, verkürzt.



Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570

olleIcke 02. Jun 2017

Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D Hut ab!

olleIcke 02. Jun 2017

Find ich auch!1 Einer der seltenen Erfolgsberichte dieser Art Natürlich hätte...

Apfelbrot 02. Jun 2017

Lies halt einfach mal den Kommentar auf den du gerade geantwortet hast...


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /