Sicherheitslücken im Paket-Tracking-System von GLS aufgedeckt

Bei einem Vortrag auf dem Winterkongress der Digitalen Gesellschaft Schweiz in Winterthur wurde ein Forschungsprojekt vorgestellt, das Schwachstellen in deutschen Paketverfolgungs-Websites untersucht. Nachdem bereits Sicherheitsprobleme bei DHL, DPD und UPS öffentlich gemacht wurden, stehen nun Erkenntnisse über GLS im Fokus.

Die Website zur Paketverfolgung von GLS offenbart geografische Informationen über die Empfänger, indem sie den Namen des Ziel-Paketzentrums anzeigt. Zudem ermöglichte die Nutzung der Postleitzahl des Empfängers den Zugriff auf persönliche Informationen, einschließlich der genauen Koordinaten der Adresse. Es fehlten Maßnahmen wie eine Begrenzung der Anfragerate, was das brute-force Ausprobieren von Postleitzahlen über die API erlaubte.

Durch die geografischen Hinweise konnten die möglichen gültigen Postleitzahlen auf eine kleine Auswahl eingegrenzt werden. Ein von den Forschern entwickeltes Python-Skript konnte innerhalb von fünf Sekunden viele gültige Postleitzahlen identifizieren, da die GLS-Trackingnummern vorhersehbar generiert werden.

Die Forschungsergebnisse wurden schließlich am 25. April 2024 öffentlich gemacht, und GLS hat begonnen, die notwendigen Änderungen umzusetzen. Für weitere Einblicke in IT-Sicherheit laden Dennis Kniel und Florian Bausch zur #TROOPERS24 Konferenz in Heidelberg ein, die vom 24. bis zum 28. Juni 2024 stattfindet.

Related Posts

Siemens: Sicherheitslücke in RUGGEDCOM APE1808-Geräten

Siemens hat eine dringende Sicherheitswarnung für ihre RUGGEDCOM APE1808-Geräte herausgegeben, die mit der Virtual NGFW von Palo Alto Networks konfiguriert sind. Diese Geräte sind von der kritischen Sicherheitslücke CVE-2024-3400 betroffen, die im PAN-OS von Palo Alto Networks entdeckt wurde.

Read More

Sicherheitslücken in CLI-Tools von AWS und Google Cloud gefährden sensible Daten

Die Command-Line Interface (CLI) Tools von Amazon Web Services (AWS) und Google Cloud stehen unter Verdacht, durch eine als “LeakyCLI” bezeichnete Sicherheitslücke sensible Benutzerdaten offenzulegen, wie Okta im April 2024 berichtete. Diese Schwachstelle könnte dazu führen, dass persönliche Zugangsdaten unbeabsichtigt in Build-Logs erscheinen und somit potenziell für Angreifer zugänglich sind.

Read More

Forscher können verschlüsselte ChatGPT Chats abhören

In einem kürzlich veröffentlichten Paper der Ben-Gurion University wurde eine neue Sicherheitslücke in der Kommunikation mit künstlichen Intelligenz-Assistenten wie ChatGPT aufgedeckt. Diese Schwachstelle ermöglicht es Angreifern, verschlüsselte Chat-Konversationen zu rekonstruieren, obwohl die Chat Daten auf einem gesicherten TLS verschlüsselten Kanal übertragen worden sind.

Read More