Die Paketverfolgung von Zustelldiensten wie GLS ist ein vielgenutzter und praktischer Service. Man bekommt eine Mail oder ein SMS und kann dann sehen, wo sich das Paket befindet, und manchmal sogar, wann es final geliefert wird. Offenbar hat dieser Service leider auch Sicherheitslücken, wie die Forscher der Heidelberger Enno Rey Netzwerke GmbH (ERNW) kürzlich aufgedeckt haben. Damals betroffen waren DHL und ein chinesischen Versender, und zwar wurden bei der Datenübergabe der beiden Firmen Empfängeradressen offengelegt, auf die unbefugte Dritte zugreifen konnten. Damit war es möglich, beispielsweise Pakete abzufangen.

Nun hat Florian Bausch, ebenfalls von ERNW, einen weiteren Paketdienst aufgezeigt, der offenbar mit diesen Sicherheitslücken zu kämpfen hat: GLS.

Keine Sicherheitsschranken

Im Rahmen eines Forschungsprojekts wurden von ERNW deutsche Paketverfolgungsseiten auf Schwachstellen geprüft. So wurde festgestellt, dass die GLS-Website das geografische Gebiet des Empfängers offenlegt, "indem sie den Namen des Ziel-Paketzentrums anzeigt", wie passend dazu der Tech-Journalist Günter Born auf seinem Blog erklärt.

Das ist laut Born allerdings noch nicht das Problem, sondern die dazu passende Verwendung der Postleitzahl des Empfängers, um "persönliche Informationen wie die Adresse und Merkmale, die den Prozess der Paketzustellung beeinflussen, freizuschalten".

Die damit verbundene Eingrenzung und ein ohne großen Aufwand von Bausch verfasstes Python-Skript ließ den Sicherheitsforscher innerhalb kürzester Zeit Einblick in detaillierte Empfängerdaten zu ihm bekannten Sendungsnummern nehmen. Offenbar hat GLS keinerlei Sicherheitsmechanismen oder Ratenbeschränkungen, die eine Begrenzung der Abfragen ermöglichen, um so das Ausforschen von Daten in so kurzer Zeit über die API verhindern zu können.

Gemeldet wurde laut Bausch die Schwachstelle bereits am 5. September 2023. Seitdem hatte GLS an einer Behebung des Problems gearbeitet. Seit März 2024 scheint die Lücke geschlossen, so der Forscher. (red, 26.4.2024)