packstation

DHL Packstation mit App „DHL Paket“ mTAN ausgehebelt

packstationDurch eine Sicherheitslücke konnten unbefugte leicht auf die Paketfächer der Packstation-Nutzer zugreifen. Das Problem wurde von DHL zunächst bestritten. Das c't Magazin konnte die Lücke nachstellen.

Mit Einführung der Anzeige der mTAN in der App "DHL Paket" Anfang Juni benötigte man nicht mehr die SMS mit der mTAN sondern nur noch die Zugangsdaten. Hacker, die im Besitz der Zugangsdaten sind, konnten sich nun leicht eine Zweitkarte erstellen und die mTAN aus der App auslesen.
In Untergrund-Foren wird inzwischen ein Tool verkauft, mit dem man die Lücke ausnutzen kann, um sich Pakete im Namen anderer Packstation-Kunden liefern zu lassen.
Die Übertragung der mTAN per App soll aus Sicherheitsgründen nun abgeschaltet werden.