Per Brute Force: Schwachstelle beim GLS-Tracking legt Empfängeradressen offen

Durch einen fehlenden Brute-Force-Schutz ist es möglich gewesen, einer API von GLS genaue Adressdaten der Empfänger von GLS-Paketen zu entlocken.

Artikel veröffentlicht am , Marc Stöckel
Eine API von GLS war unzureichend vor Brute-Force-Angriffen geschützt.
Eine API von GLS war unzureichend vor Brute-Force-Angriffen geschützt. (Bild: pixabay.com / dominikrabalski)

Bei dem Paketdienstleister GLS hat es offenbar eine Schwachstelle gegeben, durch die Angreifer anhand einer bekannten Sendungsverfolgungsnummer den Wohnort des zugehörigen Empfängers ermitteln konnten. Wie aus einem Blogbeitrag von Florian Bausch, IT-Security-Experte bei der Enno Rey Netzwerke GmbH (ERNW), hervorgeht, wurde der Angriff vor allem durch fehlende Maßnahmen gegen Brute-Force-Angriffe auf die API der GLS-Webseite ermöglicht.

Um detaillierte Empfängerinformationen zu einem Paket abzurufen, muss auf der GLS-Seite die Postleitzahl der Zieladresse eingegeben werden. Damit erhält man Zugriff auf weitere Adressdaten und Merkmale bezüglich der Paketzustellung. Auch ohne Angabe der Postleitzahl ist aber schon eine Eingrenzung der Zielregion möglich, da der Name des Zielpaketzentrums angezeigt wird.

Damit ist die Anzahl der infrage kommenden Postleitzahlen überschaubar: Laut Bausch deckt ein GLS-Paketzentrum im Durchschnitt 136 Postleitzahlen ab. Anhand eines Python-Skriptes gelang es dem Sicherheitsforscher, pro Sekunde sechs Postleitzahlen zu testen und somit innerhalb weniger Sekunden detaillierte Empfängerdaten zu ihm bekannten Sendungsnummern abzurufen.

Fortlaufende Sendungsnummern verschärfen das Problem

Die API des Paketdienstleisters bot nach Angaben des Sicherheitsexperten keinerlei Rate-Limiting oder andere Techniken zur Einschränkung der Anfragen. Obendrein sei es ein Leichtes, Kunden bestimmter Unternehmen gezielt ins Visier zu nehmen, da die GLS-Paketnummern vorhersehbar generiert würden, erklärt Bausch.

"Angreifer, die Zugriff auf eine gültige Sendungsverfolgungsnummer haben, z. B. von einem Paket, das von einem Webshop verschickt wurde, können aufwärts oder abwärts zählen, um gültige Trackingnummern von Paketen zu finden, die an andere Kunden verschickt wurden."

An GLS gemeldet wurde die Schwachstelle laut Bausch schon am 5. September 2023. Seitdem informierte der Paketdienstleister ERNW bei monatlich stattfindenden Meetings regelmäßig über den aktuellen Stand der Problembeseitigung. Dafür mussten Schnittstellen für Kunden und Subunternehmer wohl teilweise umfangreich überarbeitet werden. Seit März 2024 sind die Arbeiten abgeschlossen.

GLS ist nicht der erste Paketdienstleister, bei dem Schwachstellen in Verbindung mit Sendungsverfolgungsnummern aufgedeckt wurden. Vergleichbare Probleme gab es bei DHL, DPD und UPS.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Montagsauto
Xiaomi-Elektroauto nach 39 Kilometern kaputt

Ein SU7-Modell des chinesischen Herstellers Xiaomi konnte nach nur 39 km Fahrt nicht mehr repariert werden. Weitere Fahrer melden Probleme.

Montagsauto: Xiaomi-Elektroauto nach 39 Kilometern kaputt
Artikel
  1. Herr der Ringe: Lego bringt Saurons Festung Barad-Dur
    Herr der Ringe
    Lego bringt Saurons Festung Barad-Dur

    Mit zehn Minifiguren, darunter Sauron selbst, und 5.471 Steinen ist Barad-Dur das zweite große neue Lego-Set aus Der Herr der Ringe.

  2. Steckersolargeräte: Umwelthilfe fordert gesetzliche Erlaubnis für Kleingärten
    Steckersolargeräte
    Umwelthilfe fordert gesetzliche Erlaubnis für Kleingärten

    Wegen der Installation einer Solaranlage hat ein Kleingartenverein einem Pächter gekündigt. Die DUH unterstützt die Klage gegen die Kündigung.

  3. Meme Stocks: Roaring Kittys Rückkehr treibt Gamestop-Aktie in die Höhe
    Meme Stocks
    Roaring Kittys Rückkehr treibt Gamestop-Aktie in die Höhe

    In den letzten Tagen haben Meme Stocks wie Gamestop ihren Wert teilweise mehr als verdoppelt. Das hat einen Grund: Roaring Kitty.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PCGH Cyber Week: Omen Gaming-Notebook & Samsung QLED TV zu Bestpreisen • Steelseries Rival 600 Gaming-Maus -44% • Google Pixel 8a für 549€ kaufen und 150€ Ankaufprämie + Altgeräte-Restwert erhalten • Xiaomi Mi Scooter 4 Pro 499€ • Logitech G915 156,68€ • Be Quiet Base 701 Midi 180,90€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /