Linux-Magazin findet Daten-Leck bei DHL-Paketverfolgung
ID: 63357
- Unbefugtes Auslesen von Kundendaten in Sekundenschnelle möglich
- DHL gelobt Besserung und schaltet die Paketverfolgung für den betroffenen Bereich vorerst ab
Linux-Magazin-Autor Tobias Eggendorfer staunte nicht schlecht, als er den Link zur Sendungsverfolgung in der E-Mail eines Onlineshops anklickte: Sein Internetbrowser zeigte nicht nur die Lieferadresse seines eigenen Pakets, sondern auch noch die Adressen zweier weiterer DHL-Kunden. Auch bekam er zu sehen, wann die Personen genau ihr Paket entgegengenommen haben, also zu Hause waren.
Der promovierte Computerexperte schrieb ein kleines Programm, ein so genanntes Shellskript, und extrahierte mit zufälligen Paketnummern in Sekunden Hunderte weitere Adressen. Das war so leicht, weil der Link in der Mail das unverschlüsselte Passwort "PUBLIC" enthielt. Für jeden Sicherheitsexperten sind Klartextpasswörter ein überflüssiges Risiko, diese in eine Internetadresse zu packen gilt als fahrlässig.
Privatadressen ungeschützt
Alle so gefundenen Adressen gehörten Kunden eines Versenders - dem, von dem auch Linux-Magazin-Autor Eggendorfer sein Paket empfangen hatte. Mit einem weiteren Linux-Skript konnte er sogar die Zugangsdaten mehrerer hundert weiterer Versender identifizieren und deren Kunden ermitteln, denn auch diese Firmen benutzen das identische Passwort, offenbar ein von DHL vergebenes Standardpasswort. DHL fragt an dieser Stelle keine Daten ab, die nur Absender und Empfänger kennen, beispielsweise die Postleitzahl.
Die Folge: Jeder technisch halbwegs versierte PC-Nutzer kann nach dem Erhalt einer E-Mail auf die im Linux-Magazin 12/2008 geschilderte Weise die Daten anderer Kunden ausspionieren, sofern sein Shopbetreiber das DHL-Passwort nicht geändert hat - was offenbar Gang und Gäbe ist. Das wäre zum Beispiel bei Erotikartikel-Versendern oder Internet-Apotheken für die Betroffenen nicht nur unangenehm, sondern könnte Halunken eine profitable Datenbasis für erpresserische Aktivitäten bilden. Auch Adresshändler könnten sich so aus dem DHL-Adressbestand Listen erzeugen, die in der Vergangenheit bei Versendern bestimmter Produktsegmente eingekauft haben.
Die Reaktion von DHL
Das Linux-Magazin informierte DHL vor Veröffentlichung des Artikels in Ausgabe 12/2008. In einer Stellungnahme bestreitet das Unternehmen zunächst das Vorhandensein einer Sicherheitslücke. Viel mehr liege "ein 'Versehen' des Shopbetreibers vor, indem er seinem Käufer einen Zugriff auf seine interne Sendungsverwaltung zur Verfügung gestellt hat."
Dass solche "Versehen" keine Einzelfälle sind und seine Systeme die eigentliche Ursache des Problems bilden, scheint der Logistikkonzern jedoch zu ahnen. Denn die Stellungnahme schließt mit: "Zum Schutz unserer Kunden ist zur Drucklegung [des Linux-Magazins] eine Benachrichtigung erfolgt [...]. Weiterhin wird diese Funktion zur internen Sendungsverwaltung deaktiviert sein." Die Details zu dem Vorfall veröffentlicht das Linux-Magazin aus dem Linux New Media Verlag in Ausgabe 12/2008, die am 6. November erscheint.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Über Linux New Media AG
Linux New Media AG, gegründet 1999, ist heute der weltweit größte Content Provider rund um Linux und Open-Source-Software. Der Verlag gibt mehr als 30 Print- und Online-Publikationen heraus und betreibt Niederlassungen in sechs Ländern. Neben deutschen Titeln wie Linux-Magazin, Technical Review, LinuxUser und EasyLinux produziert die Linux New Media AG eigenständige Ausgaben in Spanien, Großbritannien, USA, Polen und Brasilien. Die Linux New Media AG organisiert Veranstaltungen und Messeplattformen wie z.B. „CeBIT Open Source“ oder die „Veranstaltungsreihe „LinuxPark“ in Brasilien. Weitere Informationen finden Sie unter http://www.linuxnewmedia.de.
Linux New Media AG
Jan Kleinert
jkleinert(at)linux-magazin.de
Phone: +49 89 9934 1166
Putzbrunner Straße 71
81739 München
Datum: 03.11.2008 - 14:17 Uhr
Sprache: Deutsch
News-ID 63357
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Jan Eppers
Stadt:
München
Kategorie:
New Media & Software
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 03.11.2008
Diese Pressemitteilung wurde bisher 1151 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Linux-Magazin findet Daten-Leck bei DHL-Paketverfolgung"
steht unter der journalistisch-redaktionellen Verantwortung von
Linux New Media AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Erst Anfang Oktober hat die Linux-Magazin Academy ihre erfolgreichen LPIC-Online-Trainings auf englisch vorgestellt, nun kommt eine weitere Sprache hinzu: holländisch. Gemeinsam mit dem niederländischen Trainingsspezialisten AT Computing aus Nijmegen bringt Linux New Media, das Verlagshaus hinter
Neue Linux-Online-Trainings ...
Das neue Lernportal geht mit Online-Trainings in englischer Sprache zur Vorbereitung auf die Prüfungen des Linux Professional Institutes (LPI) unter der Webadresse http://academy.linux-magazine.com an den Start. Völlig neu an den englischsprachigen Videos ist die Streaming-Lösung, die gleichzeiti
WordPress 3.0 im Online-Training der Linux-Magazin Academy ...
Die populäre Blog- und CMS-Software WordPress ist in der aktuellen Version 3.0 gerade drei Wochen alt, da kommt von der Linux-Magazin Academy ein neues Online-Training für alle, die mit der freien Software einen eigenen Blog oder eine Webseite gestalten wollen. In ihrem neuen Online-Training &quo
Weitere Mitteilungen von Linux New Media AG
Voith Turbo Lokomotivtechnik optimiert Service fürs Flottenmanagement ...
Der Kieler Lokomotivkonstrukteur, der unter anderem die stärkste dieselhydraulische Lokomotive der Welt baut, stellt seinen Kunden bei Auslieferung der Schienenfahrzeuge ein umfassendes SAP-basiertes Flottenmanagement-System zur Verfügung. Dies beinhaltet neben den Fahrzeug-Stammdaten, dem Reporti
Phone Marketing Business AG telefoniert mit ELSBETH ...
Sie betreibt die größten Call Center in der West-Schweiz: die Phone Marketing Business AG. Soeben hat das Unternehmen ein umfangreiches ELSBETH-Paket beauftragt. Darin enthalten: die ELSBETH Outbound Suite für 160 Agenten-Arbeitsplätze sowie die ELSBETH Premium Suite – eine kombinierte Inboun
DocuPortal 7 ECM Suite mit neuer Windows-Dateisystem-Integration verfügbar ...
Besondere Highlights der Suite sind die schnelle Einsatzfähigkeit, die Flexibilität und vor allem die einfache Erlernbarkeit der webbasierten Oberfläche. In der neuen DocuPortal 7 Suite wurden nicht nur Funktionen ergänzt, sondern auch die Suchperformance deutlich optimiert. Dies gilt auch für
Videoüberwachung mit dem Handy ...
Berlin, November 2008 Vor Kurzem hat die Berliner 1000eyes GmbH den neuen Internetdienst mycam auf den Markt gebracht. Mit mycam können sich sowohl private als auch gewerbliche Nutzer mit geringem Aufwand eine Videoüberwachung mit professionellen Funktionen einrichten. Dafür können sie ganz ein
