Bei einem Vortrag auf dem Winterkongress der Digitalen Gesellschaft Schweiz in Winterthur wurde ein Forschungsprojekt vorgestellt, das Schwachstellen in deutschen Paketverfolgungs-Websites untersucht. Nachdem bereits Sicherheitsprobleme bei DHL, DPD und UPS öffentlich gemacht wurden, stehen nun Erkenntnisse über GLS im Fokus.
Die Website zur Paketverfolgung von GLS offenbart geografische Informationen über die Empfänger, indem sie den Namen des Ziel-Paketzentrums anzeigt. Zudem ermöglichte die Nutzung der Postleitzahl des Empfängers den Zugriff auf persönliche Informationen, einschließlich der genauen Koordinaten der Adresse. Es fehlten Maßnahmen wie eine Begrenzung der Anfragerate, was das brute-force Ausprobieren von Postleitzahlen über die API erlaubte.
Durch die geografischen Hinweise konnten die möglichen gültigen Postleitzahlen auf eine kleine Auswahl eingegrenzt werden. Ein von den Forschern entwickeltes Python-Skript konnte innerhalb von fünf Sekunden viele gültige Postleitzahlen identifizieren, da die GLS-Trackingnummern vorhersehbar generiert werden.
Die Forschungsergebnisse wurden schließlich am 25. April 2024 öffentlich gemacht, und GLS hat begonnen, die notwendigen Änderungen umzusetzen. Für weitere Einblicke in IT-Sicherheit laden Dennis Kniel und Florian Bausch zur #TROOPERS24 Konferenz in Heidelberg ein, die vom 24. bis zum 28. Juni 2024 stattfindet.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: