Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I

Sicherheit (Pexels, allgemeine Nutzung)Bestellungen aus China werden u.U. vom Versender YunExpress verschickt und dann in Europa durch die nationalen Paketdienste ausgeliefert. Ein Leser hatte mich in diesem Zusammenhang auf ein Problem aufmerksam gemacht, weil die Daten deutscher Paketempfänger über die DHL-Paketverfolgung auch durch Dritte abgerufen werden können. Hintergrund ist eine Schwachstelle beim Versender YunExpress, die in Kombination mit DHL zur Offenlegung der Empfängerdaten gegenüber Dritten führt. Man konnte sehen, wer ein "Päckchen vom China-Mann bekommen hat". Nach meiner Meldung scheint diese Schwachstelle inzwischen behoben.


Anzeige

Eine Leserbeobachtung

Es ist eine "unflotte Geschichte", auf die mich ein Leser vor einiger Zeit hingewiesen hatte (danke dafür). Nach einer Bestellung von Elektronik bei einem China-Shop erfolgte der Transport von China nach Deutschland über den Anbieter YunExpress. Nach Eintreffen in Deutschland übernimmt die DHL den Transport und die Zustellung an den deutschen Kunden. So weit so gut.

Der Leser ist aber auch freiberuflicher Software-Entwickler und arbeitet häufiger für Logistik-Unternehmen (u.a. auch für DHL). Daher keimte Neugierte auf und der Leser hat sich die YunExpress Tracking-API angeschaut und damit etwas "rumgespielt". Der Empfänger eines Pakets, das über diesen Versender verschickt wird, bekommt eine sogenannte Tracking-Nummer, die man auf deren Parcels-Portal eingeben kann.

YunExpress Parcels Tracking-Portal Suchseite

Das Portal ermöglicht anhand der YunExpress Tracking-Number jedem die Sendungsdaten abzurufen. Ich bekomme das Herkunftsland der Sendung (hier natürlich China), das Zielland (kann weltweit sein, interessant für mich waren Deutschland und Österreich) und weitere Daten wie das Gewicht der Sendung angezeigt. Interessant ist dabei, dass dort die Tracking-Nummer der Sendung für den lokalen Paketzusteller mit angegeben wird. Für Empfänger in Deutschland ist dies die DHL-Tracking-Nummer.


Anzeige

YunExpress Parcels Tracking-Portal Suchergebnis

Obiger Screenshot zeigt eine solche Ergebnisseite für eine Lieferung aus Dezember 2023. Mittels der jeweiligen von YunExpress übernommenen DHL-Trackingnummer kann man nun auf das Portal zur DHL-Paketverfolgung gehen. Um den Status der Lieferung einsehen zu können, verlangt das DHL-Portal neben der DHL Tracking-Nummer noch die Postleitzahl des Empfängers. Das ist eine zusätzliche Hürde zur Autorisierung des Abfragenden. Für den legitimen Empfänger des Pakets, der von seinem chinesischen Versender die YunExpress Tracking-Number per E-Mail übermittelt bekommen hat, kein Problem. Er kennt ja seine Postleitzahl. Aber für Dritte (war dies) auch kein Problem, denn die Postleitzahl ließ sich auf dem YunExpress-Portal ablesen – siehe obigen Screenshot.

DHL-Paketzustelldaten

Mit den richtigen Daten wird in der DHL-Paketverfolgung dann der Empfänger des Pakets, die geplante Zustellzeit und falls ausgeliefert auch der Ablageort oder die Abgabe an einen anderen Empfänger vermerkt. In obigem Fall wurde das Paket statt an Berta an Peter ausgehändigt.

Soweit alles gut, ich kenne meine Lieferanschrift, meinen Namen und kann auch sehen, ob ein Nachbar oder ein Firmenmitarbeiter die Sendung angenommen hat. Sieht so aus, als ob DHL seinen "Job" gemacht hat. Aber der Teufel lauerte im Detail. Denn ich kenne weder Berta noch Peter aus obiger Sendung und habe keinen Schimmer, wo Haimhausen liegt.

Wenn der Programmierer patzt

Der Blog-Leser stellte sich als Software-Entwickler natürlich die Frage, was man mit den YunExpress Tracking-Numbers so anstellen könnte. Und es fiel sofort auf, dass die YunExpress Tracking-Numbers so strukturiert sind, dass der letzte Teil wohl eine fortlaufende Nummer ist. Sprich: Du hast eine gültige Tracking-Number und probierst einfach mal aus, was eine Tracking-Nummer höher oder tiefer im YunExpress-Tracking-Portal an Ergebnissen liefert.

Ich habe das mal nach dem Hinweis des Lesers stichprobenartig ausprobiert. Nicht alle von mir versuchsweise probierten Nummern lieferten ein Ergebnis im YunExpress-Tracking-Portal. Und Sendungen, die nach Australien oder in die USA gingen, interessierten mich auch nicht. Ich war aber in der Lage, einige Sendungsnummern "zu generieren", die an Empfänger in Deutschland, Österreich oder andere Länder in Europa gingen.

Während die Sendungsverfolgung für Österreich eine Anmeldung erforderte und ich damit "draußen war", konnte ich anhand der DHL-Tracking-Nummern sowie der Postleitzahlen aus dem YunExpress-Portal bei DHL die Empfängerdaten der betreffenden Sendungen  ermitteln. Ich habe zwar nicht erfahren, was Firma XYZ oder Herta Müller in Entenhausen so beim China-Mann bestellt hat. Aber mal flapsig ausgedrückt, hätte ich bei Herta Müller anrufen können (mit den abgerufenen Daten wäre die Telefonnummer sicher zu ermitteln gewesen): "Hier auch Müller vom Hauptzollamt Entenhausen. Ich sehe gerade, Sie haben ein Paket von xxx aus China angenommen. Mir fehlt noch die Zollerklärung, ihnen ist klar, dass da Zoll und Mehrwertsteuer anfällt?"

Wie drückt es der Blog-Leser, der mich auf das Thema hinwies, aus: "Mit etwas krimineller Energie kann man da, denke ich, einiges anstellen, und Datenschutztechnisch ist das ja wohl auch ein Problem." Ob das so alles zutrifft? Na ja, wir werden noch sehen.

DHL, wir haben ein Problem …

An dieser Stelle lag der Ball ganz schnell bei mir im Spielfeld, denn der Leser informierte mich über seine Zufallsentdeckung. Da wir den Fall "Modern Solutions" in Deutschland haben (siehe meine Artikelfolge, die sich über Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024) abrufen lässt), ist das für jeden Entwickler irgendwie eine heiße Kartoffel. Wie sag ich's meinem DHL?

Als Blogger habe ich inzwischen mehrfach die Aufgabe übernommen und in ähnlichen Fällen mit "über Bande-Spiel" das Thema "geräuschlos" (und ohne "Streisand-Effekt") in trockene Tücher gebracht und erst im Nachgang drüber berichtet.

DHL-Leitlinien Sicherheit

Ich hatte mich gegenüber dem Leser bereiterklärt, mir den oben skizzierten Sachverhalt selbst anzusehen und in meiner Eigenschaft als Blogger an DHL heranzutreten "hallo, ich hab das was". Aber es gibt Tage, da rennst Du los und kommst an den Punkt, wo es sich "wie gegen eine Wand gebrettert" anfühlt. Ich habe bei VW einen Fall laufen, da war es sehr einfach – die Seite zum Melden von Security-Vorfällen aufgerufen, meine Daten eingetragen und gebeten, mich zu kontaktieren. Einen Tag später klingelte das Telefon und ich hatte den Verantwortlichen für diesen Cyber-Security-Sachverhalt im Telefon. Das läuft derzeit in der Abarbeitung – vorbildlich.

Bei DHL wurde ich aber auf der Seite hier "a bisserl" erschlagen. Den Text muss wohl ein Anwalt formuliert haben – statt eines Formulars für eine vertrauliche und verschlüsselte Meldung werden mir zig Seiten an Verhaltenskodex vorgesetzt. Dann wurde ich über den Link Vulnerability Disclosure Program auf eine Folgeseite geleitet und sah "melden sich an oder registrieren sie sich" (auf Englisch).

War dann der Punkt, wo mir die Lust auf Meldung verging und ich den Leser kontaktierte. Dort kam die Rückmeldung "ich könnte mal schauen, ich habe einen Kontakt" zurück. Alleine, der Versuch, über diese Schiene das Thema bei DHL einzuspeisen, verlief im Sande (ich habe gerade nachgesehen, den Leserkontakt gab es zum 1. Februar 2024). Erinnerungsmäßig habe ich dann nach zwei Wochen dem Leser signalisiert "Ich melde den Vorgang dem zuständigen *datenschutzbeauftragten".

PS: Der * ist kein Fliegenschiss auf dem Monitor oder ein Vertipper meinerseits – sondern ein Platzhalter, weil ich die zuständige Stelle noch einsetzen können will. Aber das ist Gegenstand von Teil II und der Frage, wie ich mich "als Ritter der Informationsfreiheit" im Föderalismus durch den Paragraphendschungel gekämpft, die richtige Stelle doch noch gefunden, eine Klärung herbeigeführt und nebenbei DHL noch verschnupft und gegen DSGVO-Windmühlen gefightet habe. Man gönnt sich ja sonst nichts, viel Feind, viel Ehr, und gelernt habe ich auch noch was (das Leben ist so lang, dass Du nicht dumm sterben musst). Ach ja, die "Prise Born" scheint gewirkt zu haben, das potentielle Datenleck scheint gestopft.

Artikelreihe:
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II

Ähnliche Artikel:
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Bauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgründen) entfernt?
BAUHAUS-App wieder mit Scan-Funktion für Kassenbons
IHK Oldenburg: Sicherheitslücken in Tibros-Online
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Festes SA SQL-Passwort bei windata 9-Banking-Software
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I

  1. Anonym sagt:

    > Herta Müller

    Die Dame tut mir nicht im geringsten leid. Wer durch seine Bestellungen Steuerausfällen in dreistelliger Millionenhöhe (1) den Boden bereitet, hat es nicht anders verdient. YunExpress wickelt die abgabenrechtliche Seite der Einfuhr ebenfalls ausserhalb Deutschlands ab.

    (1) tagesschau.de/wirtschaft/verbraucher/temu-pakete-zoll-steuern-100.html

    • Kai sagt:

      Wenn man danach geht, dann findet man überall 'Tricks' / 'Ausnutzen von Schlupflöchern'. Von Apple bis Zalando, aber Herta Müller, die den Dienst nutzt, soll leiden / Schaden haben?

      Die Abgründe des Internets 2024…

      • Gast sagt:

        Wie war die Weissagung der Cree?
        Erst wenn der letzte deutsche Arbeitsplatz vernichtet ist, werdet ihr merken, dass China nicht das Bürgergeld bezahlt.
        – oder so ähnlich …

    • Alzheimer sagt:

      Im Normalfall werden bei China-Importen alle Steuern und Zollabgaben korrekt abgeführt – ausser mal bestellt über irgendwelche dunklen Kanäle, aber das hat dann nicht nur was mit China und YunExpress zu tun.
      Und wenn Du mit offenen Augen durchs Leben laufen würdest, dass sollte Dir klar sein, dass durchaus auch die ganz braven Steuerzahler opfer solcher Angriffe werden können!

    • Phadda sagt:

      Und es gibt etliche Steuerschlupflöcher für andere Firmen/Handlungen geht los bei A wie Amazon und endet bei Z wie Zalando. Das ganze ist nicht mal auf dem Handel begrenzt, sondern auch deutsche Firmen können sich an EU/DE Schlupflöcher bereichern, das ist dann wieder OK? Naja…

  2. Bernie sagt:

    Ergänzend:
    Auch die Post & DHL App ist nachweislich nicht datenschutzkonform und sendet
    viele Daten "nach außen".
    Mike Kuketz hat das auf seinem Blog analysiert und gut beschrieben, warum das so ist:
    https://www.kuketz-blog.de/post-dhl-app-reaktion-der-deutschen-post-liegt-vor/
    https://www.kuketz-blog.de/post-dhl-datenschutz-unbekannt-verzogen-app-check-teil2/

    • Marc sagt:

      … der Blogbeitrag von M.K. ist aber auch uralt (2 Jahre). Hat sich irgendwer mal die Mühe gemacht, das erneut zu überprüfen? Ich bin da langsam etwas skeptisch.
      Und was die Kontaktaufnahme mit der DHL angeht – die haben doch ein Impressum bzw eine Datenschutzseite, da steht eine Email Adresse drauf datenschutz@dpdhl.com

      • Günter Born sagt:

        Zu deiner Datenschutz-E-Mail-Adresse – auf die ganz schnelle Tour habe ich die DHL-Seite nicht gefunden, wo obige E-Mail-Adresse steht. Man möge sich mal in der Fußzeile unter Datenschutz ansehen, was die Leutchen da veranstalten …

        und ich schrieb im Text "sichere Übermittlung" – sprich verschlüsselt. Wie ich in Teil II schrieb: "Ich bin zu doof dazu, das so zu finden" – oder anders ausgedrückt "nur VW kompatibel" – da bin ich bei einem ähnlichen Vorgang binnen einiger Sekunden auf einer Seite gewesen, wo ich verschlüsselt kommunizieren konnte. Aber egal, wir verkämpfen uns hier auf Nebenkriegsschauplätzen (war bei Bauhaus auch so, ich habe versucht, auf die Schnelle den kleinen Dienstweg zu gehen und gegen die Wand gelaufen, also Datenschutzaufsicht informiert und schon lief es).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.