t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon

Menü Icont-online - Nachrichten für Deutschland
Such Icon
HomeDigitalAktuelles

"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation


Sicherheitslücke erlaubt fremden Zugriff auf Packstation

Von t-online
Aktualisiert am 22.06.2016Lesedauer: 2 Min.
Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer.Vergrößern des BildesEine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa-bilder)
Auf Facebook teilenAuf x.com teilenAuf Pinterest teilen
Auf WhatsApp teilen

Eine Sicherheitslücke in der Packstation-App von DHL hat Kriminellen erlaubt, den mTAN-Schutz auszuhebeln und dadurch Packstationsfächer für eigene Zwecke zu nutzen. Wie "Heise online" berichtet, wurde die Schwachstelle bereits im Darknet vermarktet, dem Untergrund-Marktplatz im Internet.

Die Sicherheitslücke kam mit dem Update der App "DHL Paket" Anfang Juni. Allerdings waren Packstationskunden auch dann angreifbar, wenn sie die App gar nicht installiert hatten – nur der Ganove benötigte die App. Sie nutzen deren neue mTAN-Funktion, um Kunden-Postfächer zu kapern.

DHL bewarb die App in einer Mail an die Kunden damit, dass die mTAN zum Abholen eines Pakets nun in der App angezeigt werde. Außerdem hatten Kunden die Möglichkeit, in der App eine neue mTAN zu erzeugen, wenn sie die erste zu oft falsch eingegeben hatten. Bis dahin wurde die mTAN ausschließlich per SMS auf das Smartphone des Kunden geschickt.

DHL wiegelte zunächst ab

Das Fachmagazin "c't" hatte von einem Sicherheitsexperten Hinweise auf die Lücke erhalten und DHL informiert. Online-Kriminelle, die im Besitz fremder Zugangsdaten waren, konnten durch die neue Funktion komfortabel an notwendige mTANs kommen. Im Internet stehen Millionen Datensätze von Nutzern zum Verkauf, die aus Hackerangriffen oder Datenlecks stammen. Die zur Abholung notwendigen Kundenkarten können leicht geklont werden.

DHL wiegelte zunächst ab und erklärte, dass kein erhöhtes Sicherheitsrisiko bestehe. Das Unternehmen reagierte erst, als es Hinweise erhielt, dass die Lücke im Darknet verkauft werde – einschließlich Danksagungen zufriedener Käufer. Zwischenzeitlich hatte "c't" nach eigenen Angaben die Lücke zu Testzwecken ausgenutzt, Fälle nachgestellt und die Verwundbarkeit nachgewiesen.

mTAN-Funktion entfernt

Anbieter DHL hat zum Schutz der Kunden die neue Option aus der App entfernt. Das Verfahren, eine mTAN alleine durch eine SMS mitzuteilen, gilt als relativ sicher. Denn zu einem gekaperten DHL-Konto braucht der Täter auch den Zugriff auf die SMS.

Kriminelle haben ein Interesse an gekaperten Packstationsfächern, weil sie damit illegal Waren bestellen und empfangen können, ohne die eigene Identität oder einen Lieferort preisgeben zu müssen. So kann es passieren, dass plötzlich unschuldige und ahnungslose Packstationskunden unter Rechtfertigungsdruck geraten.

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

t-online - Nachrichten für Deutschland


TelekomCo2 Neutrale Website