Am Freitag wurde ich über einen Tweet auf eine Lücke im Trackingsystem von DHL aufmerksam. Wenn man die Website für den “Sendungsstatus” aufrief, so bekam man zwei Eingabefelder angezeigt (Sendungsnummer und Referenznummer). Fügte man eine Postleitzahl in das Feld für die Referenznummer ein und klickte auf “Suchen”, so kam man zu einer zweiten Seite, auf der der Hinweis “Es liegen nicht eindeutig nationale und internationale Sendungen vor” angezeigt wurde. Wenn man auf der zweiten Seite in das PLZ-Feld die gleiche PLZ noch einmal einfügte und wieder auf “Suchen” klickte, so wurden meist mehrere Vorgänge angezeigt, inkl. Name des Empfänger und evtl. auch der Name der Person die die Sendung angenommen hatte.

In verschiedenen Blogs wurde über dieses Datenleck berichtet:
“Datenpanne bei der DHL? Sendungsverfolgung für fremde Pakete” (netzrecht.org)
“DHL gibt Auskunft über fremde Pakete” (lawblog.de)
“Datenschutz: Paketverfolgung bei der DHL für jeden möglich” (nachgeblogt.com)

Gestern wurde dann der Praktikant der DHL-EiTea-Abteilung aus seinem wohlverdienten Wochenende gerissen. Erst schaltete er den Wartungsmodus ein, damit niemand mehr auf den Sendungsstatus zugreifen konnte. Irgendwann war er dann mit seinem Gefrickel fertig und aktivierte das System wieder für die Öffentlichkeit.

Nun kann man nur noch die Sendungsnummer eingeben, es gibt kein Feld mehr für die Referenznummer. Da man ja genau in dem jetzt fehlenden Feld die PLZ eingeben mußte… könnte man… aber nein, es war doch nur der Praktikant. :O)

Die Lücke besteht nach wie vor, man kann noch immer die Daten auslesen.

Nur ein Hinweis von mir: Lieber DHL-EiTea-Praktikant, es reicht nicht aus, nur ein Formularfeld aus einem Template zu entfernen, um die Lücke zu schließen.

Update: 13.07.2009 – 11:50 Uhr
Liebe DHL-EiTealer, ihr braucht nicht meinen ganzen Blog durchkämmen – wie ihr die Lücke schließen könnt habe ich nirgends geschrieben, fragt mich einfach, geht schneller. :O)

Update: 14.07.2009 – 17:04 Uhr
DHL hat nun die Lücke endlich geschlossen. Ob meine beiden Hinweisen (per E-Mail und per Kontaktformular) mit Beispiellinks dazu geführt haben weiß ich nicht, da sie mir natürlich nicht geantwortet haben.


Was bei DHL noch fehlt, die vollständige Adresse des Empfängers, da kann ein anderer Paketdienst aushelfen. Auch bei DPD waren EiTea-Frickler am Werk, denn anders ist es nicht zu erklären, dass man nur mit der Paketscheinnummer bewaffnet, jeden Zustellbeleg, inkl. Postanschrift des Empfängers und Name und Unterschrift des Menschen der die Sendung angenommen hat, runterladen kann:

DPD nutzt fortlaufende Paketscheinnummern, was das Abgreifen der Daten per Script sehr vereinfacht:

Im Moment fällt mir noch kein sinnvoller Betrugsversuch ein, bei dem ein Angreifer die gewonnenen Daten nutzen könnte, aber: DPD, muß das so sein? Oder verstehe ich nur mal wieder dieses Feature nicht?

(Ich habe ganz bewusst nur mit alten Paketscheinnummern die Screenshots erstellt. Die verfügbaren Zustellbelege sind tagesaktuell abrufbar.)