DHL schließt Sicherheitslücke im Online-Service der Packstationen
Durch die Sicherheitslücke war es möglich, Pakete anderer Nutzer abzuholen. Ursache war die fehlende Prüfung übertragener Postnummern in den Formularen zur Änderung der Kundendaten.
DHL hat eine Sicherheitslücke im Online-Service der Packstationen geschlossen, durch die es möglich war, Pakete anderer Nutzer abzuholen. In einer Stellungnahme gegenüber heise Security betont der Paket-Dienstleister, dass dem Kundendienst bislang keine solchen Fälle bekannt geworden seien und man deshalb davon ausgehe, dass die Lücke nicht ausgenutzt wurde. Der Fehler sei bereits am 1. April (der Tag des Hinweises von heise) durch einen Hotfix beseitigt worden. Laut Claus Korfmacher, Pressesprecher von Deutsche Post World Net, prüfe man aber, ob die getroffenen Maßnahmen ausreichen. Den Entdecker der Lücke, ein aufmerksamer c't-Leser, möchte DHL nun als kleines Dankeschön zu einem Essen in seinem Lieblingsrestaurant einladen.
Ursache der Sicherheitslücke war die fehlende Prüfung übertragener Postnummern in den Formularen zur Änderung der Kundendaten. Hatte sich ein Anwender der Packstation am Server authentifiziert, konnte er durch Ändern der Postnummer im Formular beim Zurücksenden beliebige andere Konten mit eigenen Daten überschreiben. Ohne Kenntnis des Passwortes war es möglich, etwa die PIN zum Abholen der Pakete an der Packstation zu ändern. Der Fehler schlich sich wahrscheinlich durch eine Software-Umstellung auf Struts am 15. März ein. In der Folge prüfte der Server nicht mehr, ob die übertragene Postnummer zur gerade aktiven Verbindung passt.
Wie man seine eigenen Web-Anwendungen auf solche Sicherheitslücken hin überprüft, beschreibt der Artikel "Test-Feld, Mit Tools gegen schwarze Listen und Löcher in Web-Applikationen" auf heise Security. (dab)
