Sie sind hier: Home > Digital > Internet & Sicherheit >

"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation

...
t-online.de ist ein Angebot der Ströer Content Group

"DHL Paket"-App unsicher  

Sicherheitslücke erlaubt fremden Zugriff auf Packstation

22.06.2016, 15:10 Uhr | t-online.de

"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation. Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa)

Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa)

Eine Sicherheitslücke in der Packstation-App von DHL hat Kriminellen erlaubt, den mTAN-Schutz auszuhebeln und dadurch Packstationsfächer für eigene Zwecke zu nutzen. Wie "Heise online" berichtet, wurde die Schwachstelle bereits im Darknet vermarktet, dem Untergrund-Marktplatz im Internet.

Die Sicherheitslücke kam mit dem Update der App "DHL Paket" Anfang Juni. Allerdings waren Packstationskunden auch dann angreifbar, wenn sie die App gar nicht installiert hatten – nur der Ganove benötigte die App. Sie nutzen deren neue mTAN-Funktion, um Kunden-Postfächer zu kapern.

DHL bewarb die App in einer Mail an die Kunden damit, dass die mTAN zum Abholen eines Pakets nun in der App angezeigt werde. Außerdem hatten Kunden die Möglichkeit, in der App eine neue mTAN zu erzeugen, wenn sie die erste zu oft falsch eingegeben hatten. Bis dahin wurde die mTAN ausschließlich per SMS auf das Smartphone des Kunden geschickt. 

DHL wiegelte zunächst ab

Das Fachmagazin "c't" hatte von einem Sicherheitsexperten Hinweise auf die Lücke erhalten und DHL informiert. Online-Kriminelle, die im Besitz fremder Zugangsdaten waren, konnten durch die neue Funktion komfortabel an notwendige mTANs kommen. Im Internet stehen Millionen Datensätze von Nutzern zum Verkauf, die aus Hackerangriffen oder Datenlecks stammen. Die zur Abholung notwendigen Kundenkarten können leicht geklont werden.

DHL wiegelte zunächst ab und erklärte, dass kein erhöhtes Sicherheitsrisiko bestehe. Das Unternehmen reagierte erst, als es Hinweise erhielt, dass die Lücke im Darknet verkauft werde – einschließlich Danksagungen zufriedener Käufer. Zwischenzeitlich hatte "c't" nach eigenen Angaben die Lücke zu Testzwecken ausgenutzt, Fälle nachgestellt und die Verwundbarkeit nachgewiesen.

mTAN-Funktion entfernt

Anbieter DHL hat zum Schutz der Kunden die neue Option aus der App entfernt. Das Verfahren, eine mTAN alleine durch eine SMS mitzuteilen, gilt als relativ sicher. Denn zu einem gekaperten DHL-Konto braucht der Täter auch den Zugriff auf die SMS. 

Kriminelle haben ein Interesse an gekaperten Packstationsfächern, weil sie damit illegal Waren bestellen und empfangen können, ohne die eigene Identität oder einen Lieferort preisgeben zu müssen. So kann es passieren, dass plötzlich unschuldige und ahnungslose Packstationskunden unter Rechtfertigungsdruck geraten.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Wir bitten um Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Anzeige
Ähnliche Themen im Web

Shopping
Shopping
Apple Music jetzt 6 Monate kostenlos* dazubuchen
bei der Telekom.
Shopping
Under the sun: der neue boho-inspirierte Trend
jetzt entdecken bei BONITA
Shopping
Bequem bestellen: edle Wohn- programme im Komplettpaket
bei ROLLER.de

Anzeige
shopping-portal
© Ströer Digital Publishing GmbH 2017