Die DHL-Packstationen sind eigentlich eine tolle Sache. Ist man tagsüber nicht zu Hause, wenn der Postmann klingelt, kann man das Paket einfach in die gelben Container liefern lassen und man holt es zu einem späteren Zeitpunkt ab. Allerdings gelingt es Kriminellen immer wieder, die Sicherheitsmechanismen auszuhebeln. Zuletzt vor wenigen Wochen: Wie das Technikportal „Heise“ berichtet, konnten sich Kriminelle seit Anfang Juni Zugang zu den 3000 Paketautomaten der DHL verschaffen. In Deutschland nutzen etwa acht Millionen Kunden die Packstationen.
Dabei ging es den Kriminellen weniger darum, Zalando-Pakete oder Amazon-Lieferungen zu klauen, sondern um das Postfach an sich. Denn dadurch war es ihnen möglich, illegale Waren wie Drogen oder Waffen auf fremde Namen zu bestellen und so den Handel zu verschleiern. Die Sicherheitslücke wurde dem Computermagazin c’t zufolge bereits geschlossen.
Fehler in der DHL-App
Für das Manöver nutzten die Kriminellen die Smartphone-App „DHL Paket“ aus. Mit dieser ist es seit Anfang Juni möglich, die für die Entsperrung des Postfachs nötige mTan direkt auf dem Smartphone abzurufen. Zuvor wurde die mTan ausschließlich per SMS an den Kunden geschickt, was deutlich sicherer war – dann hätten die Kriminellen auch Zugriff auf die Handynummer des Kunden haben müssen. Eine Änderung der Rufnummer ist aber nur mit viel Aufwand möglich. Kannten die Kriminellen dagegen die Zugangsdaten, konnten sie die mTan einfach abfischen.
Außerdem benötigten die Hacker zum Öffnen der Packstation eine DHL-Kundenkarte. Die lässt sich der c’t zufolge aber leicht mit einem Magnetkartenschreiber fälschen. Die Packstation konnte die Fake-Karten nicht von echten unterscheiden.
DHL spielte Fall herunter
Pikant: Die Fachzeitschrift konfrontierte DHL mit der Sicherheitslücke und empfahl, „die betroffene Funktion umgehend abzuschalten“, doch die Post-Tochter spielte den Fall zunächst herunter. Es bestehe „durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko“, hieß es. Erst eine Woche später, als Kriminelle bereits ein Tool für die Sicherheitslücke im Darknet verkauften, gab der Konzern seine Fehleinschätzung zu. Die Funktion wurde mittlerweile deaktiviert und wird derzeit technisch überarbeitet.