Gehackte Dienste

DHL-Packstationen: Leichter Hack mit DHL-App und Kundenkarte

Die mehr als 3000 Packstationen der DHL, die in Deutschland in Betrieb sind, konnten über geraume Zeit sehr einfach gehackt werden. Und obwohl der Logistik-Dienstleister über Tage das Problem kannte, weigerte er sich, entsprechende Maßnahmen zu ergreifen, um seine Kunden zu schützen. Erst, als im Darknet Tools angeboten wurde, um DHL-Konten zu kapern und die Packstationen zu missbrauchen, reagierte das Haus. Dies berichtet das Magazin „c’t“.

Das Einfallstor für die Kriminellen: Die vierstellige mTAN
Acht Millionen Packstation-Nutzer gibt es in Deutschland. Wenn diese eine Lieferung abholen möchten, benötigen sie hierfür eine vierstellige mTAN sowie ihre goldene Kundenkarte von der DHL mit dem Magnetstreifen. Die hier gespeicherten Informationen bestehen aus Vor- und Zunamen des Kunden sowie seiner Kundennummer. Die Daten sind bei Paket.de über das jeweilige Kundenkonto leicht abrufbar. Wird der entsprechende Account gehackt, können perfekte Kartenklone erstellt werden. Die hierfür notwendigen Maschinen gibt es schon ab 140 Euro.

Besonders problematisch war dies in der Vergangenheit jedoch nicht. Die mTAN wurde lediglich per SMS versandt. Um auf eine Packstation zugreifen zu können, benötigten die Kriminellen entsprechend noch das Empfangsgerät der Kurznachrichten. Von dieser Praxis ist die DHL allerdings im Frühling 2016 abgewichen. Kunden konnten sich den Code auch in der App „DHL Paket“ anzeigen lassen. Diese lässt sich jedoch hacken – der Weg zur Packstation war damit frei.

DHL wird gewarnt und reagiert nicht
Ein Sicherheitsexperte entdeckte die gigantische Sicherheitslücke und wandte sich an das Magazin „c’t“ und wies auf das Problem hin. Die Redaktion konnte die Sicherheitslücke sofort nachvollziehen und wandte sich ihrerseits an die DHL. Man sprach die Empfehlung aus, den Versand der mTAN über die App sofort zu deaktivieren. Dies geschah am 8. Juni 2016. Die Antwort der DHL sorgte allerdings für Erstaunen und Schrecken. Es gebe kein erhöhtes Sicherheitsrisiko, erklärte der Logistiker und weigerte sich, die entsprechende Funktion abzuschalten.

Darknet lässt DHL umdenken
Die Redaktion von „c’t“ überprüfte in der Folge, ob man tatsächliche fremde Pakete von den Packstationen abholen könnte und war erfolgreich. Die DHL dachte aber auch von alleine acht Tage nach der ersten Warnung um und schloss die Sicherheitslücke. Im Darknet („Deep Web“) wurden inzwischen Tools angeboten, um das Problem zu nutzen. Die Beschreibung, wie man die Sicherheitslücke zum eigenen Vorteil gebrauchen könne, dürfte bei einigen Packstation-Nutzern für Angst und Schrecken sorgen: Es ging gar nicht so sehr darum, fremde Pakete zu stehlen. Stattdessen wurde die Stationen als Zwischenlager für illegale Waren wie beispielsweise Drogen genutzt. Wäre ein solcher Missbrauch aufgeflogen, so wäre der eigentliche Nutzer der Packstation in große Erklärungsnot gekommen.

Post Comment