Sicherheitslücke: Lieferdienst «Liefery» sorgt mit anfälligem Tracking für Unruhe

Das Tracking ist für Lieferdienste zu einem wichtigen Service geworden. Auf ihn wollen Kunden heute nicht mehr verzichten. Allerdings sollte die Methode sicher sein. Bei dem Logistiker «Liefery» war sie es nicht, wie zwei Experten herausgefunden haben. Das Problem lag in der Zahlen- und Buchstabenkombination.

Auf dem mittlerweile sehr lukrativen Lieferservice-Markt tummeln sich sehr viele Anbieter, die möglichst schnell wachsen wollen. Zu ihnen gehört auch das Frankfurter Start-up «Liefery». Dass es zu den bedeutenden Mitspielern in diesem Bereich aufsteigen kann, ist angesichts seiner bisherigen Partner gar nicht so unwahrscheinlich. Neben Media Markt und Zalando hat sich auch Amazon dazu bereit erklärt, mit dem Lieferdienst zusammenzuarbeiten. Dieser bietet vor allem einen Same-Day-Delivery-Service an und ermöglicht es Kunden, die Sendungen online zu verfolgen. Dafür vergibt er den Paketen fünfstellige Trackingnummern, die sowohl Zahlen als auch Buchstaben enthalten. Allerdings erweisen sich diese Kombinationen als anfällig, wie zwei Berliner Softwareentwickler festgestellt haben. Den beiden Experten zufolge sind die Trackingnummern zu kurz, um genügend Sicherheit zu gewährleisten.

Sicherheit

Gültige Trackingnummer nach 1.000 Versuch

Die Berliner Softwareentwickler sollten Recht behalten. Nach ihrer Warnung probierte das Web-Portal Golem, Lieferys Zahlen- und Buchstabenkombinationen zu knacken. Das gelang ihm nach bereits 1.000 Versuchen. Das Problem besteht hierbei vor allem darin, dass Angreifer bei einem ähnlichen Erfolg an die Postleitzahlen der Kunden gelangen. Diese machen wiederum den Weg frei für weitere private Details, womit es zu Datenschutzproblemen kommt. Im Fall von Liefery ist das deswegen brisant, weil der Logistiker noch kein großes Liefervolumen zu bewältigen hat. Aufgrund dieses geringen Angebots fällt es Angreifern nicht schwer, an die Postleitzahlen und im nächsten Schritt an die Adresse und Telefonnummer zu gelangen. Des Weiteren können sie leicht herausfinden, wo die Paketboten für den jeweiligen Kunden Sendungen abgeben, wenn dieser sich zum Zeitpunkt der Zustellung nicht zu Hause befindet. Deswegen ist die Sicherheitslücke nicht ungefährlich, zumal Cyberkriminelle momentan jede Chance nutzen, die sich ihnen bietet.

Sicherheitslücke wieder geschlossen

Nachdem das Problem bekannt geworden war, handelte Liefery sofort und schloss die Sicherheitslücke. Der Lieferdienst hat seine Trackingmethode optimiert und aus der fünf- eine zehnstellige Nummer gemacht, die Angreifer nicht mehr so leicht knacken können. Verbesserungen sind zudem bei der Eingabe von Postleitzahlen zu bemerken. Hatten Kunden früher unendlich viele Versuche, räumt ihnen Liefery nur noch drei ein, selbst wenn sie die richtige Trackingnummer eintippen. Wer diese Möglichkeit nicht nutzt, muss damit rechnen, dass die Detailansicht seiner Sendung blockiert wird.

Letzte Artikel von Eugen (Redakteur) (Alle anzeigen)