DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten
Durch eine Sicherheitslücke konnten Online-Ganoven unnötig leicht auf die Paketfächer der rund acht Millionen Packstation-Nutzer zugreifen. Als DHL das Problem bestritt, hat c't es selbst versucht.
- Ronald Eikenberg
DHL hat eine Schwachstelle in seinen Packstationen geschlossen, auf die c't das Unternehmen vor rund zwei Wochen hingewiesen hatte. Durch die Lücke war es mit überschaubarem Aufwand möglich, fremde Paketfächer zu kapern. Das Versandunternehmen bestritt zunächst, dass ein erhöhtes Sicherheitsrisiko besteht. Nachdem die Lücke im Darknet vermarktet wurde, lenkte es jedoch ein.
App "DHL Paket": mTAN ausgehebelt
Kern des Problems ist die vierstellige mTAN, welche die Packstationen beim Abholen einer Lieferung abfragen. Die mTAN hat DHL bisher ausschließlich per SMS an seine Kunden geschickt, nachdem Pakete für sie eingetroffen waren. Das war relativ sicher: Ein Angreifer, der einen Kundenaccount gekapert hatte, musste Zugriff auf die im Account hinterlegte Handynummer haben, um die mTAN empfangen zu können. Ansonsten blieb das Paketfach verschlossen. Es gibt zwar Wege, die hinterlegte Rufnummer zu ändern, dies ist aber mit Aufwand verbunden.
Anfang Juni hat DHL begonnen, die mTAN auch über die App "DHL Paket" auszuliefern. Die Kunden konnten sich den Abholcode seitdem innerhalb der App anzeigen lassen. Das brachte allerdings ein erhebliches Sicherheitsproblem mit sich: Denn auch Online-Ganoven, die im Besitz fremder Zugangsdaten waren, kamen auf diese Weise komfortabel an die mTAN. Es war nicht länger nötig, Zugriff auf die hinterlegte Handynummer zu haben.
Kundenkarte schützt nicht
Zur Abholung ist neben der mTAN auch noch die DHL-Kundenkarte nötig. Diese ist allerdings nicht gegen Missbrauch geschützt. Mit Magnetkartenschreibern ab 140 Euro erstellen sich Kriminelle seit Jahren technisch perfekte Karten-Klone, die von den Packstationen klaglos akzeptiert werden. Um eine solche Karte zu erstellen, ist kein Zugriff auf die Originalkarte nötig. Alle erforderlichen Daten, die auf den Magnetstreifen geschrieben werden müssen – Vor-und Zuname des Kunden sowie dessen Kundennummer (Postnummer). sind über Paket.de abrufbar. Die Täter sind weniger darauf aus, Pakete aus den Packstationen zu stehlen, als sich illegale Waren wie Drogen auf fremden Namen liefern zu lassen. Fliegt eine Sendung auf, gerät erst mal der angegebene Empfänger in Erklärungsnot.
Sicherheitslücke in der DHL Packstation (5 Bilder)
DHL wiegelt ab, c't probiert aus
Entdeckt hat das Problem der Sicherheitsexperte Hanno Heinrichs, der sich damit wenige Tage nach Einführung der neuen Funktion an die c't-Redaktion wandte. c't konnte es sofort nachvollziehen, informierte DHL am 8. Juni über die Gefahr und empfahl, die betroffene Funktion umgehend abzuschalten, da durch die mTAN offensichtlich kein Schutz mehr gewährleistet war. DHL erklärte daraufhin überraschend, dass "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" entstehe. Und: "Die bestehenden Betrugspräventions-Maßnahmen bleiben bestehen."
c't hat daraufhin überprüft, ob man durch die Lücke tatsächlich Pakete auf fremden Namen abholen kann – allein durch Kenntnis der Zugangsdaten. Die mTAN war schnell abgefangen und auch das Erstellen einer Magnetstreifenkarte war keine Hürde:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Plötzliche Einsicht
Acht Tage später meldete sich DHL erneut bei c't. Das Unternehmen war darauf aufmerksam geworden, dass in Untergrund-Foren mittlerweile ein Tool verkauft wurde, mit dem jedermann die Lücke ausnutzen konnte, um sich Pakete im Namen legitimer Packstation-Kunden liefern zu lassen. Dort fanden sich zu diesem Zeitpunkt auch zahlreiche Danksagungen zufriedener Käufer. DHL erklärte, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren (bspw. die Sperrung von bekannten unsicheren Anfragequellen)."
DHL hatte jetzt offenbar Handlungsbedarf gesehen. Am Montag teilte das Unternehmen mit, dass die Übertragung per App aus Sicherheitsgründen abgeschaltet werden soll. Man werde die Funktion technisch weiter optimieren, ehe sie wieder in Betrieb genommen wird. Wer die betroffene Funktion der App derzeit aufruft, erhält lediglich den Hinweis, dass "der Bereich Packstation" nicht zur Verfügung steht.
Die vollständige Geschichte mit weiteren Hintergründen finden Sie in der kommenden c't 14/16, die ab Samstag am Kiosk liegt. Abonnenten finden die Ausgabe bereits Freitag im Briefkasten. (rei)
