Abo
  • Services:

Liefery: Erratbare Trackingnummern bei Versand-Startup

Die meisten Lieferservices erlauben ihren Kunden heutzutage, den Status von Sendungen online abzufragen. Bei Liefery waren die zugehörigen Sendungsnummern sehr kurz - und ließen sich trivial erraten.

Artikel veröffentlicht am , Hanno Böck
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus.
Sendungsnummern von Liefery stellten sich als Sicherheitsrisiko heraus. (Bild: Website Liefery/Screenshot: Golem.de)

Die Frankfurter Firma Liefery versucht, sich als Konkurrent zu klassischen Paketservices zu etablieren und bringt Versandhändler und Lieferanten zusammen. Dabei arbeitet Liefery mit großen Marken wie Zalando, Amazon und Media Markt zusammen und liefert Produkte noch am selben Tag aus.

Stellenmarkt
  1. ProLeiT AG, Leverkusen
  2. Versicherungskammer Bayern, Saarbrücken

Kunden von Liefery können sich auf der Webseite des Unternehmens über den aktuellen Stand von Lieferungen informieren. Die Berliner Softwareentwickler Benny Neugebauer und Peter Heise wiesen Golem.de dabei auf eine Sicherheitslücke hin: Die Sendungsnummer bestand nur aus einer fünfstelligen Zahlen- und Buchstabenkombination. Damit lassen sich mit relativ geringem Aufwand gültige Sendungsnummern erraten.

Gültige Sendungsnummer nach etwa tausend Versuchen

Die Liefery-Webseite fragt dabei im Hintergrund eine JSON-API nach der Sendungsnummer ab. Diese JSON-API kann man auch manuell ansteuern. Bei einer ungültigen Sendungsnummer wird ein leeres JSON zurückgegeben. Bei einem Test stießen wir nach etwa tausend Versuchen mit zufällig generierten Buchstaben-Zahlen-Kombinationen auf eine gültige Sendungsnummer. Innerhalb von Minuten lassen sich also gültige Sendungsnummern finden. Ein Rate-Limit, das die Zahl der Versuche begrenzt, konnten wir nicht feststellen.

Mit einer gültigen Sendungsnummer erhält man auf der Webseite jedoch nur eingeschränkte Informationen über eine Lieferung. Allerdings kann man durch die Angabe der Postleitzahl deutlich detailliertere Informationen abfragen. Die Postleitzahl lässt sich ebenfalls leicht herausfinden. Da Liefery nur in einigen wenigen Städten tätig ist, kann man die Suche auf wenige Postleitzahlengebiete eingrenzen.

Mit einer gültigen Sendungsnummer und der passenden Postleitzahl lassen sich sehr genaue Informationen über eine Sendung abrufen: Die Adresse und Telefonnummer des Senders und Empfängers, ebenso Informationen über den Lieferanten und in einigen Fällen auch einen Ort, an dem ein Paket abgelegt werden soll, wenn der Empfänger nicht zu Hause ist. Ein gravierendes Datenschutzproblem.

Längere Sendungsnummern sollen helfen

Nachdem Golem.de Liefery über diese Sicherheitslücke informiert hatte, hat man dort einige Änderungen vorgenommen. Die wichtigste: Die Sendungsnummern sind nun zehnstellig, ein Erraten ist damit deutlich unwahrscheinlicher. Weiterhin lassen sich selbst mit einer gültigen Sendungsnummer Postleitzahlen nicht mehr erraten: Nach drei fehlgeschlagenen Versuchen wird die Detailansicht für eine Sendung gesperrt. Zudem hat Liefery die Rate Limits verschärft und den Zeitraum, in dem Sendungsinformationen eingesehen werden können, verkürzt.



Anzeige
Spiele-Angebote
  1. 39,99€
  2. 20,99€
  3. 24,99€
  4. 36,99€

olleIcke 02. Jun 2017

Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D Hut ab!

olleIcke 02. Jun 2017

Find ich auch!1 Einer der seltenen Erfolgsberichte dieser Art Natürlich hätte...

Apfelbrot 02. Jun 2017

Lies halt einfach mal den Kommentar auf den du gerade geantwortet hast...


Folgen Sie uns
       


Kameravergleich Smartphones

Samsungs Galaxy S9+ macht gute Fotos - auch im Vergleich zur Konkurrenz, wie unser Vergleichstest zeigt.

Kameravergleich Smartphones Video aufrufen
BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

    •  /