Sicherheitslücke bei TNT SecurEdoc

Der Webmail- und Dokumentenaustauschdienst des Logistik-Unternehmens TNT (TNT-SecurEdoc) enthält offenbar eine gravierende Sicherheitslücke: Wie Jens Ohlig, Sprecher des Chaos Computer Club, bekannt gab, sei es über das Sicherheitsloch möglich, Kreditkarteninformationen und Dokumente aller TNT-SecurEdoc Kunden einzusehen.

TNT-SecurEdoc versendet in E-Mails an externe Benutzer eine automatisch generierte Webadresse, unter der sie die für sie vorliegenden Dokumente abrufen können. Eine solche unverschlüsselt übertragene URL enthält eine Package-ID, die nur durch Durchzählen von Empfängern und versandten Dokumenten berechnet wird. Aufgrund von kleinen Änderungen an der Package-ID besteht die Möglichkeit, sämtliche auf dem System vorliegenden Nachrichten zu lesen, heißt es beim CCC. "Das kann jeder mit jedem Browser nachvollziehen – lediglich elementare Kenntnisse in den Grundrechenarten sind dafür notwendig", sagte Ohlig.

Offenbar hat man es bei TNT nicht sonderlich eilig, das Loch zu stopfen: Auf eine Anfrage des CCC Ende Januar blieb nach Angaben des Clubs bislang jede Reaktion aus, das Sicherheitsloch besteht derzeit wohl immer noch. (pab)