Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Sicherheitslücke gefixt DHL bringt mTAN-Funktion in Paket-App zurück
DHL hat eine Sicherheitslücke in der "DHL Paket"-App behoben, die es Kriminellen erlaubt hatte, den mTAN-Schutz auszuhebeln. Sie konnten dadurch fremde Packstationsfächer für eigene Zwecke nutzen. Ein neues Verfahren soll das nun ausschließen.
Mit dem Update der Paket-App führt DHL einen sechsstelligen Aktivierungscode ein. Dieser Code wird Packstations-Kunden per SMS zugeschickt und muss von ihnen in die App eingeben werden. Erst dann können sie ihre mTANS darüber abrufen. So wird sichergestellt, dass der Nutzer der App auch Zugriff auf die bei DHL hinterlegte Mobilfunknummer hat. Das war zuvor nicht der Fall.
Die Sicherheitslücke kam mit dem Update der App Anfang Juni. Allerdings waren Packstationskunden auch dann einem Missbrauch ausgesetzt, wenn sie die App gar nicht installiert hatten – nur die Ganoven benötigten die App. Sie nutzen deren neue mTAN-Funktion, um Kunden-Postfächer zu kapern.
DHL reagierte spät
Der Paketdienst wiegelte zunächst ab und erklärte, dass kein erhöhtes Sicherheitsrisiko bestehe. Erst nach einigem Zögern entfernte DHL die neue Option wieder aus der App. Das Verfahren, eine mTAN alleine durch eine SMS mitzuteilen, gilt als relativ sicher. Denn zu einem gekaperten DHL-Konto braucht der Täter auch den Zugriff auf die SMS.
Kriminelle haben ein Interesse an gekaperten Packstationsfächern, weil sie damit illegal Waren bestellen und empfangen können, ohne die eigene Identität oder einen Lieferort preisgeben zu müssen. So kann es passieren, dass plötzlich unschuldige und ahnungslose Packstationskunden unter Rechtfertigungsdruck geraten.