2641058

DPD-Datenleck: Deutsche Kunden wohl nicht betroffen

08.02.2022 | 17:00 Uhr | Hans-Christian Dirscherl

Die Daten von Kunden, die Pakete durch den Paketdienst DPD erhalten haben, waren über eine Sicherheitslücke einsehbar. Die Details. Update zur Lage in Deutschland.

Update 17.00 Uhr: PC-WELT fragte bei DPD nach, ob DPD-Kunden in Deutschland von der Sicherheitslücke betroffen sind. Die deutsche Pressestelle antwortete uns folgendermaßen: "Da das Livetracking von DPD Deutschland mit einem anderen System umgesetzt wird, als beispielsweise das der Kollegen in UK, ist nicht zu erwarten, dass Kunden und Paketempfänger in Deutschland von einem derartigen Datenleck betroffen waren." Update Ende

DPD kämpfte mit einem Datenleck, wie die US-IT-Sicherheitsnachrichtenseite Bleeping Computer berichtet . DPD-Kunden können bekanntlich durch Eingabe des Paket-Codes und der Postleitzahl Details zur Zustellung abrufen. In der dafür genutzten Programmierschnittstelle steckt aber eine Schwachstelle. Sicherheitsforscher von Pen Test Partners hatten herausgefunden, dass Hacker mit DPD-Paket-Codes über diese ungeschützt zugängliche API den Standort von DPD-Kunden auf Openstreetmap einsehen können.

Konkret können Angreifer über diese Lücke einen Screenshot einsehen, auf dem die Adresse des DPD-Kunden auf Openstreetmap angezeigt wird. Darüber kann der Hacker dann die Postleitzahl des Kunden ermitteln. Mit einem gültigen Paketcode und der dazu passenden Postleitzahl wiederum könnte eine unbefugte Person auf die Paket-Nachverfolgungsseite eines DPD-Kunden zugreifen, auf der die Lieferinformationen (Zustellezeit und -datum, Name des Zustellers etc.) angezeigt werden, so Bleeping Computer. Doch es kommt noch schlimmer: Mit dem gültigen Sitzungs-Token kann man die zugrundeliegenden JSON-Daten anzeigen, einschließlich des vollständigen Namens des Kunden, dessen E-Mail-Adresse, der Mobiltelefonnummer und mehr.

Pen Test Partners hat DPD laut eigenen Angaben bereits im September 2021 informiert. DPD untersuchte das Problem und schloss die Lücke im Oktober 2021. Bis dahin konnte die Lücke aber ausgenutzt werden. Ob und wie viele Kundendaten von DPD von Fremden eingesehen werden konnten, ist unbekannt. Solche Adressdaten lassen sich beispielsweise für Phishingangriffe ausnutzen.

Details dazu verraten die Sicherheitsexperten hier .

PC-WELT Marktplatz

2641058