{"id":294174,"date":"2024-04-09T16:13:22","date_gmt":"2024-04-09T14:13:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294174"},"modified":"2024-04-10T09:15:52","modified_gmt":"2024-04-10T07:15:52","slug":"datenlcke-yunexpress-und-dhl-tracking-legen-empfngerdaten-offen-teil-i","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/09\/datenlcke-yunexpress-und-dhl-tracking-legen-empfngerdaten-offen-teil-i\/","title":{"rendered":"Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I"},"content":{"rendered":"

\"SicherheitBestellungen aus China werden u.U. vom Versender YunExpress verschickt und dann in Europa durch die nationalen Paketdienste ausgeliefert. Ein Leser hatte mich in diesem Zusammenhang auf ein Problem aufmerksam gemacht, weil die Daten deutscher Paketempf\u00e4nger \u00fcber die DHL-Paketverfolgung auch durch Dritte abgerufen werden k\u00f6nnen. Hintergrund ist eine Schwachstelle beim Versender YunExpress, die in Kombination mit DHL zur Offenlegung der Empf\u00e4ngerdaten gegen\u00fcber Dritten f\u00fchrt. Man konnte sehen, wer ein \"P\u00e4ckchen vom China-Mann bekommen hat\". Nach meiner Meldung scheint diese Schwachstelle inzwischen behoben.<\/p>\n

<\/p>\n

Eine Leserbeobachtung<\/h2>\n

\"\"Es ist eine \"unflotte Geschichte\", auf die mich ein Leser vor einiger Zeit hingewiesen hatte (danke daf\u00fcr). Nach einer Bestellung von Elektronik bei einem China-Shop erfolgte der Transport von China nach Deutschland \u00fcber den Anbieter YunExpress. Nach Eintreffen in Deutschland \u00fcbernimmt die DHL den Transport und die Zustellung an den deutschen Kunden. So weit so gut.<\/p>\n

Der Leser ist aber auch freiberuflicher Software-Entwickler und arbeitet h\u00e4ufiger f\u00fcr Logistik-Unternehmen (u.a. auch f\u00fcr DHL). Daher keimte Neugierte auf und der Leser hat sich die YunExpress Tracking-API angeschaut und damit etwas \"rumgespielt\". Der Empf\u00e4nger eines Pakets, das \u00fcber diesen Versender verschickt wird, bekommt eine sogenannte Tracking-Nummer, die man auf deren Parcels-Portal<\/a> eingeben kann.<\/p>\n

\"YunExpress<\/p>\n

Das Portal erm\u00f6glicht anhand der YunExpress Tracking-Number jedem die Sendungsdaten abzurufen. Ich bekomme das Herkunftsland der Sendung (hier nat\u00fcrlich China), das Zielland (kann weltweit sein, interessant f\u00fcr mich waren Deutschland und \u00d6sterreich) und weitere Daten wie das Gewicht der Sendung angezeigt. Interessant ist dabei, dass dort die Tracking-Nummer der Sendung f\u00fcr den lokalen Paketzusteller mit angegeben wird. F\u00fcr Empf\u00e4nger in Deutschland ist dies die DHL-Tracking-Nummer.<\/p>\n

\"YunExpress<\/p>\n

Obiger Screenshot zeigt eine solche Ergebnisseite f\u00fcr eine Lieferung aus Dezember 2023. Mittels der jeweiligen von YunExpress \u00fcbernommenen DHL-Trackingnummer kann man nun auf das Portal zur DHL-Paketverfolgung<\/a> gehen. Um den Status der Lieferung einsehen zu k\u00f6nnen, verlangt das DHL-Portal neben der DHL Tracking-Nummer noch die Postleitzahl des Empf\u00e4ngers. Das ist eine zus\u00e4tzliche H\u00fcrde zur Autorisierung des Abfragenden. F\u00fcr den legitimen Empf\u00e4nger des Pakets, der von seinem chinesischen Versender die YunExpress Tracking-Number per E-Mail \u00fcbermittelt bekommen hat, kein Problem. Er kennt ja seine Postleitzahl. Aber f\u00fcr Dritte (war dies) auch kein Problem, denn die Postleitzahl lie\u00df sich auf dem YunExpress-Portal ablesen – siehe obigen Screenshot.<\/p>\n

\"DHL-Paketzustelldaten\"<\/p>\n

Mit den richtigen Daten wird in der DHL-Paketverfolgung dann der Empf\u00e4nger des Pakets, die geplante Zustellzeit und falls ausgeliefert auch der Ablageort oder die Abgabe an einen anderen Empf\u00e4nger vermerkt. In obigem Fall wurde das Paket statt an Berta an Peter ausgeh\u00e4ndigt.<\/p>\n

Soweit alles gut, ich kenne meine Lieferanschrift, meinen Namen und kann auch sehen, ob ein Nachbar oder ein Firmenmitarbeiter die Sendung angenommen hat. Sieht so aus, als ob DHL seinen \"Job\" gemacht hat. Aber der Teufel lauerte im Detail. Denn ich kenne weder Berta noch Peter aus obiger Sendung und habe keinen Schimmer, wo Haimhausen liegt.<\/p>\n

Wenn der Programmierer patzt<\/h2>\n

Der Blog-Leser stellte sich als Software-Entwickler nat\u00fcrlich die Frage, was man mit den YunExpress Tracking-Numbers so anstellen k\u00f6nnte. Und es fiel sofort auf, dass die YunExpress Tracking-Numbers so strukturiert sind, dass der letzte Teil wohl eine fortlaufende Nummer ist. Sprich: Du hast eine g\u00fcltige Tracking-Number und probierst einfach mal aus, was eine Tracking-Nummer h\u00f6her oder tiefer im YunExpress-Tracking-Portal an Ergebnissen liefert.<\/p>\n

Ich habe das mal nach dem Hinweis des Lesers stichprobenartig ausprobiert. Nicht alle von mir versuchsweise probierten Nummern lieferten ein Ergebnis im YunExpress-Tracking-Portal. Und Sendungen, die nach Australien oder in die USA gingen, interessierten mich auch nicht. Ich war aber in der Lage, einige Sendungsnummern \"zu generieren\", die an Empf\u00e4nger in Deutschland, \u00d6sterreich oder andere L\u00e4nder in Europa gingen.<\/p>\n

W\u00e4hrend die Sendungsverfolgung f\u00fcr \u00d6sterreich eine Anmeldung erforderte und ich damit \"drau\u00dfen war\", konnte ich anhand der DHL-Tracking-Nummern sowie der Postleitzahlen aus dem YunExpress-Portal bei DHL die Empf\u00e4ngerdaten der betreffenden Sendungen\u00a0 ermitteln. Ich habe zwar nicht erfahren, was Firma XYZ oder Herta M\u00fcller in Entenhausen so beim China-Mann bestellt hat. Aber mal flapsig ausgedr\u00fcckt, h\u00e4tte ich bei Herta M\u00fcller anrufen k\u00f6nnen (mit den abgerufenen Daten w\u00e4re die Telefonnummer sicher zu ermitteln gewesen): \"Hier auch M\u00fcller vom Hauptzollamt Entenhausen. Ich sehe gerade, Sie haben ein Paket von xxx aus China angenommen. Mir fehlt noch die Zollerkl\u00e4rung, ihnen ist klar, dass da Zoll und Mehrwertsteuer anf\u00e4llt?\"<\/p>\n

Wie dr\u00fcckt es der Blog-Leser, der mich auf das Thema hinwies, aus: \"Mit etwas krimineller Energie kann man da, denke ich, einiges anstellen, und Datenschutztechnisch ist das ja wohl auch ein Problem.\" Ob das so alles zutrifft? Na ja, wir werden noch sehen.<\/p>\n

DHL, wir haben ein Problem …<\/h2>\n

An dieser Stelle lag der Ball ganz schnell bei mir im Spielfeld, denn der Leser informierte mich \u00fcber seine Zufallsentdeckung. Da wir den Fall \"Modern Solutions\" in Deutschland haben (siehe meine Artikelfolge, die sich \u00fcber Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a> abrufen l\u00e4sst), ist das f\u00fcr jeden Entwickler irgendwie eine hei\u00dfe Kartoffel. Wie sag ich's meinem DHL?<\/p>\n

Als Blogger habe ich inzwischen mehrfach die Aufgabe \u00fcbernommen und in \u00e4hnlichen F\u00e4llen mit \"\u00fcber Bande-Spiel\" das Thema \"ger\u00e4uschlos\" (und ohne \"Streisand-Effekt\") in trockene T\u00fccher gebracht und erst im Nachgang dr\u00fcber berichtet.<\/p><\/blockquote>\n

\"DHL-Leitlinien<\/p>\n

Ich hatte mich gegen\u00fcber dem Leser bereiterkl\u00e4rt, mir den oben skizzierten Sachverhalt selbst anzusehen und in meiner Eigenschaft als Blogger an DHL heranzutreten \"hallo, ich hab das was\". Aber es gibt Tage, da rennst Du los und kommst an den Punkt, wo es sich \"wie gegen eine Wand gebrettert\" anf\u00fchlt. Ich habe bei VW einen Fall laufen, da war es sehr einfach – die Seite zum Melden von Security-Vorf\u00e4llen aufgerufen, meine Daten eingetragen und gebeten, mich zu kontaktieren. Einen Tag sp\u00e4ter klingelte das Telefon und ich hatte den Verantwortlichen f\u00fcr diesen Cyber-Security-Sachverhalt im Telefon. Das l\u00e4uft derzeit in der Abarbeitung – vorbildlich.<\/p>\n

Bei DHL wurde ich aber auf der Seite hier<\/a> \"a bisserl\" erschlagen. Den Text muss wohl ein Anwalt formuliert haben – statt eines Formulars f\u00fcr eine vertrauliche und verschl\u00fcsselte Meldung werden mir zig Seiten an Verhaltenskodex vorgesetzt. Dann wurde ich \u00fcber den Link Vulnerability Disclosure Program<\/a> auf eine Folgeseite geleitet und sah \"melden sich an oder registrieren sie sich\" (auf Englisch).<\/p>\n

War dann der Punkt, wo mir die Lust auf Meldung verging und ich den Leser kontaktierte. Dort kam die R\u00fcckmeldung \"ich k\u00f6nnte mal schauen, ich habe einen Kontakt\" zur\u00fcck. Alleine, der Versuch, \u00fcber diese Schiene das Thema bei DHL einzuspeisen, verlief im Sande (ich habe gerade nachgesehen, den Leserkontakt gab es zum 1. Februar 2024). Erinnerungsm\u00e4\u00dfig habe ich dann nach zwei Wochen dem Leser signalisiert \"Ich melde den Vorgang dem zust\u00e4ndigen *datenschutzbeauftragten\".<\/p>\n

PS: Der * ist kein Fliegenschiss auf dem Monitor oder ein Vertipper meinerseits – sondern ein Platzhalter, weil ich die zust\u00e4ndige Stelle noch einsetzen k\u00f6nnen will. Aber das ist Gegenstand von Teil II und der Frage, wie ich mich \"als Ritter der Informationsfreiheit\" im F\u00f6deralismus durch den Paragraphendschungel gek\u00e4mpft, die richtige Stelle doch noch gefunden, eine Kl\u00e4rung herbeigef\u00fchrt und nebenbei DHL noch verschnupft und gegen DSGVO-Windm\u00fchlen gefightet habe. Man g\u00f6nnt sich ja sonst nichts, viel Feind, viel Ehr, und gelernt habe ich auch noch was (das Leben ist so lang, dass Du nicht dumm sterben musst). Ach ja, die \"Prise Born\" scheint gewirkt zu haben, das potentielle Datenleck scheint gestopft.<\/p>\n

Artikelreihe:<\/strong>
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> – Teil I
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a>\u00a0\u2013 Teil II<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nBauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgr\u00fcnden) entfernt?<\/a>
\nBAUHAUS-App wieder mit Scan-Funktion f\u00fcr Kassenbons<\/a>
\nIHK Oldenburg: Sicherheitsl\u00fccken in Tibros-Online<\/a>
\nGeh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a>
\nNachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"

Bestellungen aus China werden u.U. vom Versender YunExpress verschickt und dann in Europa durch die nationalen Paketdienste ausgeliefert. Ein Leser hatte mich in diesem Zusammenhang auf ein Problem aufmerksam gemacht, weil die Daten deutscher Paketempf\u00e4nger \u00fcber die DHL-Paketverfolgung auch durch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294174","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294174","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294174"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294174\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}