Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation

...
t-online.de ist ein Angebot der Ströer Content Group

"DHL Paket"-App unsicher  

Sicherheitslücke erlaubt fremden Zugriff auf Packstation

22.06.2016, 15:10 Uhr | t-online.de

"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation. Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa)

Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa)

Eine Sicherheitslücke in der Packstation-App von DHL hat Kriminellen erlaubt, den mTAN-Schutz auszuhebeln und dadurch Packstationsfächer für eigene Zwecke zu nutzen. Wie "Heise online" berichtet, wurde die Schwachstelle bereits im Darknet vermarktet, dem Untergrund-Marktplatz im Internet.

Die Sicherheitslücke kam mit dem Update der App "DHL Paket" Anfang Juni. Allerdings waren Packstationskunden auch dann angreifbar, wenn sie die App gar nicht installiert hatten – nur der Ganove benötigte die App. Sie nutzen deren neue mTAN-Funktion, um Kunden-Postfächer zu kapern.

DHL bewarb die App in einer Mail an die Kunden damit, dass die mTAN zum Abholen eines Pakets nun in der App angezeigt werde. Außerdem hatten Kunden die Möglichkeit, in der App eine neue mTAN zu erzeugen, wenn sie die erste zu oft falsch eingegeben hatten. Bis dahin wurde die mTAN ausschließlich per SMS auf das Smartphone des Kunden geschickt. 

DHL wiegelte zunächst ab

Das Fachmagazin "c't" hatte von einem Sicherheitsexperten Hinweise auf die Lücke erhalten und DHL informiert. Online-Kriminelle, die im Besitz fremder Zugangsdaten waren, konnten durch die neue Funktion komfortabel an notwendige mTANs kommen. Im Internet stehen Millionen Datensätze von Nutzern zum Verkauf, die aus Hackerangriffen oder Datenlecks stammen. Die zur Abholung notwendigen Kundenkarten können leicht geklont werden.

DHL wiegelte zunächst ab und erklärte, dass kein erhöhtes Sicherheitsrisiko bestehe. Das Unternehmen reagierte erst, als es Hinweise erhielt, dass die Lücke im Darknet verkauft werde – einschließlich Danksagungen zufriedener Käufer. Zwischenzeitlich hatte "c't" nach eigenen Angaben die Lücke zu Testzwecken ausgenutzt, Fälle nachgestellt und die Verwundbarkeit nachgewiesen.

mTAN-Funktion entfernt

Anbieter DHL hat zum Schutz der Kunden die neue Option aus der App entfernt. Das Verfahren, eine mTAN alleine durch eine SMS mitzuteilen, gilt als relativ sicher. Denn zu einem gekaperten DHL-Konto braucht der Täter auch den Zugriff auf die SMS. 

Kriminelle haben ein Interesse an gekaperten Packstationsfächern, weil sie damit illegal Waren bestellen und empfangen können, ohne die eigene Identität oder einen Lieferort preisgeben zu müssen. So kann es passieren, dass plötzlich unschuldige und ahnungslose Packstationskunden unter Rechtfertigungsdruck geraten.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages
Ähnliche Themen im Web

Shopping
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Prepaid-Aufladung
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • MagentaCLOUD
  • Homepages & Shops
  • De-Mail
  • Freemail
  • Mail & Cloud M
  • Sicherheitspaket
  • Hotspot
  • Hilfe
© Ströer Digital Publishing GmbH 2017