Abo
  • Services:

Liefery: Erratbare Trackingnummern bei Versand-Startup

Die meisten Lieferservices erlauben ihren Kunden heutzutage, den Status von Sendungen online abzufragen. Bei Liefery waren die zugehörigen Sendungsnummern sehr kurz - und ließen sich trivial erraten.

Artikel veröffentlicht am , Hanno Böck
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus.
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus. (Bild: Website Liefery/Screenshot: Golem.de)

Die Frankfurter Firma Liefery versucht, sich als Konkurrent zu klassischen Paketservices zu etablieren und bringt Versandhändler und Lieferanten zusammen. Dabei arbeitet Liefery mit großen Marken wie Zalando, Amazon und Media Markt zusammen und liefert Produkte noch am selben Tag aus.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Kunden von Liefery können sich auf der Webseite des Unternehmens über den aktuellen Stand von Lieferungen informieren. Die Berliner Softwareentwickler Benny Neugebauer und Peter Heise wiesen Golem.de dabei auf eine Sicherheitslücke hin: Die Sendungsnummer bestand nur aus einer fünfstelligen Zahlen- und Buchstabenkombination. Damit lassen sich mit relativ geringem Aufwand gültige Sendungsnummern erraten.

Gültige Sendungsnummer nach etwa tausend Versuchen

Die Liefery-Webseite fragt dabei im Hintergrund eine JSON-API nach der Sendungsnummer ab. Diese JSON-API kann man auch manuell ansteuern. Bei einer ungültigen Sendungsnummer wird ein leeres JSON zurückgegeben. Bei einem Test stießen wir nach etwa tausend Versuchen mit zufällig generierten Buchstaben-Zahlen-Kombinationen auf eine gültige Sendungsnummer. Innerhalb von Minuten lassen sich also gültige Sendungsnummern finden. Ein Rate-Limit, das die Zahl der Versuche begrenzt, konnten wir nicht feststellen.

Mit einer gültigen Sendungsnummer erhält man auf der Webseite jedoch nur eingeschränkte Informationen über eine Lieferung. Allerdings kann man durch die Angabe der Postleitzahl deutlich detailliertere Informationen abfragen. Die Postleitzahl lässt sich ebenfalls leicht herausfinden. Da Liefery nur in einigen wenigen Städten tätig ist, kann man die Suche auf wenige Postleitzahlengebiete eingrenzen.

Mit einer gültigen Sendungsnummer und der passenden Postleitzahl lassen sich sehr genaue Informationen über eine Sendung abrufen: Die Adresse und Telefonnummer des Senders und Empfängers, ebenso Informationen über den Lieferanten und in einigen Fällen auch einen Ort, an dem ein Paket abgelegt werden soll, wenn der Empfänger nicht zu Hause ist. Ein gravierendes Datenschutzproblem.

Längere Sendungsnummern sollen helfen

Nachdem Golem.de Liefery über diese Sicherheitslücke informiert hatte, hat man dort einige Änderungen vorgenommen. Die wichtigste: Die Sendungsnummern sind nun zehnstellig, ein Erraten ist damit deutlich unwahrscheinlicher. Weiterhin lassen sich selbst mit einer gültigen Sendungsnummer Postleitzahlen nicht mehr erraten: Nach drei fehlgeschlagenen Versuchen wird die Detailansicht für eine Sendung gesperrt. Zudem hat Liefery die Rate Limits verschärft und den Zeitraum, in dem Sendungsinformationen eingesehen werden können, verkürzt.



Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. 1.299,00€

olleIcke 02. Jun 2017

Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D Hut ab!

olleIcke 02. Jun 2017

Find ich auch!1 Einer der seltenen Erfolgsberichte dieser Art Natürlich hätte...

Apfelbrot 02. Jun 2017

Lies halt einfach mal den Kommentar auf den du gerade geantwortet hast...


Folgen Sie uns
       


Oneplus 6T - Test

Das Oneplus 6T ist der Nachfolger des Oneplus 6 - und als T-Modell ein Hardware Refresh. Neu sind unter anderem ein größeres Display mit kleinerer Notch sowie der Fingerabdrucksensor unter dem Displayglas. Im Test hat das neue Modell einen guten Eindruck hinterlassen.

Oneplus 6T - Test Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /