Missbrauch möglich: DHL schließt Packstationen-Sicherheitslücke

Eine Sicherheitslücke im mTAN-Verfahren der DHL-Packstationen hat den Zugriff auf die Paketfächer sämtlicher Packstation-Nutzer ermöglicht. Die Lücke ließ sich dabei offenbar äußerst einfach ausnutzen, nun hat die DHL die Sicherheitslücke geschlossen.

Bildquelle: defotoberg / Shutterstock.com

Offenbar gab es eine Sicherheitslücke in den Packstationen der DHL, die Online-Kriminellen relativ einfachen Zugriff auf die Paketfächer aller rund acht Millionen Packstation-Nutzer ermöglicht hat. Das Fachmagazin C’t hatte die DHL nach Angaben von Heise Online bereits vor zwei Wochen über die Sicherheitslücke informiert, das Versandunternehmen hatte aber zunächst ein erhöhtes Sicherheitsrisiko für die Nutzer abgestritten. Nachdem sich im Darknet allerdings ein Tool zum Ausnutzen der Lücke verbreitet hatte, lenkte die DHL offenbar ein.

Neuer mTAN-Service der DHL öffnete die Lücke

Das Problem sei nach Angaben von C’t in der vierstelligen mTAN begründet, die die Packstationen beim Abholen einer Lieferung abfragen. Anfang Juni hatte die DHL damit begonnen, diese mTAN nicht mehr nur per SMS, sondern auch über die „DHL Paket“-App auszuliefern. Komfortabel für die Kunden, aber auch riskant: Online-Kriminelle hatten damit bei Besitz von fremden Zugangsdaten direkt Zugriff auf die mTAN, die zum Öffnen des Paketfachs nötig ist. Neben der mTAN ist aber auch noch die DHL-Kundenkarte nötig, aber diese biete nach Angaben von Heise Online keinen Schutz gegen Missbrauch: Kriminelle erstellen schon „seit Jahren technisch perfekte Karten-Klone, die von den Packstationen klaglos akzeptiert werden“.

Der Sicherheitsexperte Hanno Heinrichs hatte die Lücke kurz nach Einführung der neuen Funktion entdeckt und sich an die C’t-Redaktion gewandt, die die Lücke „sofort nachvollziehen“ konnte. Am 8. Juni informierte das Magazin die DHL über die Lücke und empfahl, die Funktion sofort abzuschalten. Die DHL habe hingegen erklärt, dass „kein erhöhtes Sicherheitsrisiko“ vorläge. Rund eine Woche später habe der Paketversender allerdings bemerkt, dass sich im Darknet ein Tool zum Ausnutzen der Lücke verbreitet hatte.

„Keine Zunahme von Missbrauchsversuchen“

Auf Anfrage von OnlinehändlerNews erklärte die DHL, dass man sich dazu entschieden habe, den Push-Kanal für die mTAN in der App „vorübergehend abzuschalten“. Bislang hätte nur ein geringer Teil der App-Nutzer den neuen Service in Anspruch genommen, trotzdem stehe Sicherheit für das Unternehmen im Vordergrund. „Wir werden die Funktion nun technisch weiter optimieren und zu einem späteren Zeitpunkt wieder live schalten“, erklärte die DHL weiter. „Bis dahin erhalten die Kunden ihre mTAN wie gewohnt per SMS.“

Das Unternehmen betont, dass es sich dabei „um eine reine Sicherheitsmaßnahme“ handele. Die regelmäßigen Sicherheitsprüfungen der DHL hätten gezeigt, dass es seit Einführung der neuen Funktion „keine Zunahme von Missbrauchsversuchen“ gegeben hat. Das liege unter anderem daran, dass man „frühzeitig“ risikoreduzierende Maßnahmen ergriffen habe – darunter die Sperrung vermeintlich unsicherer Anfragequellen.