{"id":294740,"date":"2024-04-26T00:01:00","date_gmt":"2024-04-25T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294740"},"modified":"2024-04-26T10:14:29","modified_gmt":"2024-04-26T08:14:29","slug":"datenleck-beim-gls-pakettracking-april-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/26\/datenleck-beim-gls-pakettracking-april-2024\/","title":{"rendered":"Datenleck beim GLS-Pakettracking (April 2024) gefixt"},"content":{"rendered":"

\"SicherheitHeute noch ein kleiner Beitrag rund um das Thema \"Pakettracking legt Empf\u00e4ngerdaten offen\". Nachdem ich das Thema bereits im Zusammenhang mit DHL hier im Blog hatte, bin ich von Dritten auf einen \u00e4hnlichen Sachverhalt beim Paketzusteller GLS hingewiesen worden. Dieser legt ebenfalls \u00fcber seine Paketverfolgungs-Website das geografische Gebiet des Empf\u00e4ngers offen. \u00dcber ein kleines Script war es Forschern m\u00f6glich, Sendungsdaten fremder Personen anzusehen bzw. abzurufen. Inzwischen ist diese Schwachstelle beseitigt. Hier eine Zusammenfassung, was zu diesem Thema bekannt geworden ist.<\/p>\n

<\/p>\n

Problem Paket-Tracking<\/h2>\n

\"\"Eigentlich ist die Paketverfolgung der Zustelldienste f\u00fcr Empf\u00e4nger eine tolle Sache. Du kannst abfragen, wo sich ein Paket befindet und ob das ausgeliefert wurde. Zum Problem wird es, wenn unbefugte Dritte auf diese Daten zugreifen und Missbrauch treiben k\u00f6nnen (z.B. Pakete abfangen). Im Blog-Beitrag Datenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> – Teil I hatte ich ja eine solchen Fall skizziert, wo die Daten\u00fcbergabe zwischen einem chinesischen Versender und DHL zur Offenlegung von Empf\u00e4ngeradressen f\u00fchrte.<\/p>\n

Die Sicherheitsforscher der Heidelberger ERNW<\/a> haben in den letzten Monaten weitere F\u00e4lle bei DHL (All your parcel are belong to us \u2013 Talk at Troopers 2023<\/a>), DPD (Breaking DPD Parcel Tracking<\/a>) und UPS (Breaking UPS Parcel Tracking<\/a>) aufgedeckt, gemeldet und nach Beseitigung der Probleme auf insinuator.net offen gelegt.<\/p>\n

GLS Paketverfolgung geknackt<\/h2>\n

Florian Bausch von ERNW hatte mich bereits von einigen Tagen, auf Grund meines Golem-Beitrags Tracking von DHL und Yun Express verriet Empf\u00e4ngeradressen<\/a>, kontaktiert und eine entsprechende Offenlegung f\u00fcr einen weiteren Paketdienst angek\u00fcndigt. Vor wenigen Stunden hat mich Florian Bausch dann \u00fcber die Entdeckung einer Problemstelle samt Offenlegung beim Paketversender GLS informiert (danke daf\u00fcr).<\/p>\n

Zum Hintergrund: Das Team von ERNW hat sich im Rahmen eines Forschungsprojekts deutsche Paketverfolgungsseiten im Hinblick auf Schwachstellen angesehen. Bei diesem Ansatz stie\u00dfen die Sicherheitsexperten bei GLS auf der Webseite zur Paketverfolgung auf ein Problem, dass die GLS-Website das geografische Gebiet des Empf\u00e4ngers offenlegt, indem sie den Namen des Ziel-Paketzentrums anzeigt.<\/p>\n

\"GLS
\nGLS-Paketverfolgung; Quelle: insinuator.net<\/p>\n

Das ist noch nicht so der Knaller, da ein Ziel-Paketzentrum ja viele Zustellbezirke umfassen kann. Aber dar\u00fcber hinaus wurde die Postleitzahl des Empf\u00e4ngers verwendet, um pers\u00f6nliche Informationen (einschlie\u00dflich der genauen Koordinaten der Adresse) und Merkmale, die den Prozess der Paketzustellung beeinflussen, freizuschalten.<\/p>\n

Und ab da wird die Geschichte interessant, weil nun die Statistik mit ins Spiel kommt.\u00a0Der Hintergrund ist, dass aufgrund des geografischen Hinweises die Zahl der Postleitzahlen von den Sicherheitsforschern auf eine kleine Gruppe potenziell g\u00fcltiger Postleitzahlen beschr\u00e4nkt werden konnte. Im Durchschnitt deckt ein GLS-Paketzentrum 136 Postleitzahlen ab, w\u00e4hrend (wiederum im Durchschnitt) die 30 bev\u00f6lkerungsreichsten Postleitzahlen 50 % der Bev\u00f6lkerung beherbergen, die das Paketzentrum bedient.<\/p>\n

Die Sicherheitsexperten schrieben daher ein Python-Skript, welches sechs Anfragen pro Sekunde als Proof of Concept an die API sendete. Die GLS-Website setzte leider keine Ratenbeschr\u00e4nkung oder andere Techniken (zur Begrenzung der Abfragen) ein, um das Ausforschen von Postleitzahlen \u00fcber die API zu verhindern.<\/p>\n

Aufgrund fehlender Ma\u00dfnahmen zur Verhinderung von Brute-Force-Angriff war es den Forschern m\u00f6glich, Anfragen an die GLS-API zu senden, um die g\u00fcltige Postleitzahl zu finden. Die Forscher geben an, dass es m\u00f6glich war, viele g\u00fcltige Postleitzahlen innerhalb von 5 Sekunden (pro Kontrollnummer) zu identifizieren, da die GLS-Kontrollnummern vorhersehbar generiert werden.<\/p>\n

\"GLS
\nDaten einer GLS-Paketverfolgung; Quelle: insinuator.net<\/p>\n

Angreifer, die Zugriff auf eine g\u00fcltige Sendungsverfolgungsnummer, z. B. von einem Paket, haben, welches von einem Webshop verschickt wurde, k\u00f6nnen aufw\u00e4rts oder abw\u00e4rts z\u00e4hlen, um weitere g\u00fcltige Sendungsverfolgungsnummern von Paketen zu finden, die an andere Kunden verschickt wurden. Daher ist es ein Leichtes, Kunden bestimmter Unternehmen ins Visier zu nehmen.<\/p>\n

Offenlegung und Beseitigung<\/h2>\n

Die Forscher haben die Ergebnisse ihrer Analyse am 05. September 2023 an GLS gemeldet und eine Frist von 90-Tagen zur Offenlegung gesetzt. Nachdem GLS \u00fcber die Schwachstellen auf ihrer Webseite informiert war, investierte das Unternehmen Zeit in die Schwachstellenanalyse. Das umfasste auch Ans\u00e4tze zur Behebung und Abschw\u00e4chung der Schwachstellen. Weiterhin wurde ein m\u00f6glicher Zeitplan zur Behebung des Problems aufgezeigt. Dies umfasste nicht nur die Behebung der mitgeteilten Schwachstellen, sondern auch die Umgestaltung der Schnittstellen und APIs f\u00fcr Kunden und Unterauftragnehmer.<\/p>\n

Auf Grund dieser Entwicklung verl\u00e4ngerte ERNW die urspr\u00fcnglich 90-Tag-Offenlegungsfrist, um der Weihnachtszeit und den damit verbundenen Belastungen im Paketversand Rechnung zu tragen. W\u00e4hrend des gesamten Offenlegungsprozesses, der im September 2023 begann und bis M\u00e4rz 2024 andauerte, hat GLS in monatlichen Videokonferenzen mehrfach \u00fcber den aktuellen Stand der Behebungsarbeiten informiert. Die Forscher haben in ihrem Bericht Breaking GLS Parcel Tracking<\/a> daher auch die enge Zusammenarbeit mit GLS hervor und bedanken sich bei GLS f\u00fcr den reibungslosen Ablauf der Offenlegung.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nBauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgr\u00fcnden) entfernt?<\/a>
\nBAUHAUS-App wieder mit Scan-Funktion f\u00fcr Kassenbons<\/a>
\nIHK Oldenburg: Sicherheitsl\u00fccken in Tibros-Online<\/a>
\nGeh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a>
\nNachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> – Teil I
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> \u2013 Teil II<\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein kleiner Beitrag rund um das Thema \"Pakettracking legt Empf\u00e4ngerdaten offen\". Nachdem ich das Thema bereits im Zusammenhang mit DHL hier im Blog hatte, bin ich von Dritten auf einen \u00e4hnlichen Sachverhalt beim Paketzusteller GLS hingewiesen worden. Dieser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294740","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294740"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294740\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}