"DHL Paket"-App unsicher: Hacker klauen Pakete aus Packstation

Schlagzeilen

Alle

Trump unterläuft Fehler bei Vereidigung

"Fast erstickt": Sängerin im Krankenhaus

Ukraine: Dann wäre AfD für mehr Waffen

"Proud Boys"-Anführer aus Haft entlassen

Bundesliga-Trainer wird Nationalcoach

Trump über Putin: "Er zerstört Russland"

Hillary Clinton bricht in Gelächter aus

Bayern-Flirt zum Schnäppchen zu haben

Zuckerberg taxiert Bezos' Partnerin

Manchester City landet historischen Deal

Der Frühling kommt: Hier wird es warm

Ricarda Lang platzt plötzlich der Kragen

So haben die Viren keine Chance

Alle Schlagzeilen anzeigen

Symbolbild zum aus- und einklappen des Inhaltes

"DHL Paket"-App unsicher
Sicherheitslücke erlaubt fremden Zugriff auf Packstation

Von t-online

Aktualisiert am 22.06.2016Lesedauer: 2 Min.

Eine Sicherheitslücke in der App "DHL Paket" erlaubte Zugriff auf Paketfächer. (Quelle: dpa)

Eine Sicherheitslücke in der Packstation-App von DHL hat Kriminellen erlaubt, den mTAN-Schutz auszuhebeln und dadurch Packstationsfächer für eigene Zwecke zu nutzen. Wie "Heise online" berichtet, wurde die Schwachstelle bereits im Darknet vermarktet, dem Untergrund-Marktplatz im Internet.

Die Sicherheitslücke kam mit dem Update der App "DHL Paket" Anfang Juni. Allerdings waren Packstationskunden auch dann angreifbar, wenn sie die App gar nicht installiert hatten – nur der Ganove benötigte die App. Sie nutzen deren neue mTAN-Funktion, um Kunden-Postfächer zu kapern.

DHL bewarb die App in einer Mail an die Kunden damit, dass die mTAN zum Abholen eines Pakets nun in der App angezeigt werde. Außerdem hatten Kunden die Möglichkeit, in der App eine neue mTAN zu erzeugen, wenn sie die erste zu oft falsch eingegeben hatten. Bis dahin wurde die mTAN ausschließlich per SMS auf das Smartphone des Kunden geschickt.

DHL wiegelte zunächst ab

Das Fachmagazin "c't" hatte von einem Sicherheitsexperten Hinweise auf die Lücke erhalten und DHL informiert. Online-Kriminelle, die im Besitz fremder Zugangsdaten waren, konnten durch die neue Funktion komfortabel an notwendige mTANs kommen. Im Internet stehen Millionen Datensätze von Nutzern zum Verkauf, die aus Hackerangriffen oder Datenlecks stammen. Die zur Abholung notwendigen Kundenkarten können leicht geklont werden.

DHL wiegelte zunächst ab und erklärte, dass kein erhöhtes Sicherheitsrisiko bestehe. Das Unternehmen reagierte erst, als es Hinweise erhielt, dass die Lücke im Darknet verkauft werde – einschließlich Danksagungen zufriedener Käufer. Zwischenzeitlich hatte "c't" nach eigenen Angaben die Lücke zu Testzwecken ausgenutzt, Fälle nachgestellt und die Verwundbarkeit nachgewiesen.

mTAN-Funktion entfernt

Anbieter DHL hat zum Schutz der Kunden die neue Option aus der App entfernt. Das Verfahren, eine mTAN alleine durch eine SMS mitzuteilen, gilt als relativ sicher. Denn zu einem gekaperten DHL-Konto braucht der Täter auch den Zugriff auf die SMS.

Kriminelle haben ein Interesse an gekaperten Packstationsfächern, weil sie damit illegal Waren bestellen und empfangen können, ohne die eigene Identität oder einen Lieferort preisgeben zu müssen. So kann es passieren, dass plötzlich unschuldige und ahnungslose Packstationskunden unter Rechtfertigungsdruck geraten.