Per Brute Force: Schwachstelle beim GLS-Tracking legt Empfängeradressen offen
Durch einen fehlenden Brute-Force-Schutz ist es möglich gewesen, einer API von GLS genaue Adressdaten der Empfänger von GLS-Paketen zu entlocken.
Bei dem Paketdienstleister GLS hat es offenbar eine Schwachstelle gegeben, durch die Angreifer anhand einer bekannten Sendungsverfolgungsnummer den Wohnort des zugehörigen Empfängers ermitteln konnten. Wie aus einem Blogbeitrag von Florian Bausch, IT-Security-Experte bei der Enno Rey Netzwerke GmbH (ERNW), hervorgeht, wurde der Angriff vor allem durch fehlende Maßnahmen gegen Brute-Force-Angriffe auf die API der GLS-Webseite ermöglicht.
Um detaillierte Empfängerinformationen zu einem Paket abzurufen, muss auf der GLS-Seite die Postleitzahl der Zieladresse eingegeben werden. Damit erhält man Zugriff auf weitere Adressdaten und Merkmale bezüglich der Paketzustellung. Auch ohne Angabe der Postleitzahl ist aber schon eine Eingrenzung der Zielregion möglich, da der Name des Zielpaketzentrums angezeigt wird.
Damit ist die Anzahl der infrage kommenden Postleitzahlen überschaubar: Laut Bausch deckt ein GLS-Paketzentrum im Durchschnitt 136 Postleitzahlen ab. Anhand eines Python-Skriptes gelang es dem Sicherheitsforscher, pro Sekunde sechs Postleitzahlen zu testen und somit innerhalb weniger Sekunden detaillierte Empfängerdaten zu ihm bekannten Sendungsnummern abzurufen.
Fortlaufende Sendungsnummern verschärfen das Problem
Die API des Paketdienstleisters bot nach Angaben des Sicherheitsexperten keinerlei Rate-Limiting oder andere Techniken zur Einschränkung der Anfragen. Obendrein sei es ein Leichtes, Kunden bestimmter Unternehmen gezielt ins Visier zu nehmen, da die GLS-Paketnummern vorhersehbar generiert würden, erklärt Bausch.
"Angreifer, die Zugriff auf eine gültige Sendungsverfolgungsnummer haben, z. B. von einem Paket, das von einem Webshop verschickt wurde, können aufwärts oder abwärts zählen, um gültige Trackingnummern von Paketen zu finden, die an andere Kunden verschickt wurden."
An GLS gemeldet wurde die Schwachstelle laut Bausch schon am 5. September 2023. Seitdem informierte der Paketdienstleister ERNW bei monatlich stattfindenden Meetings regelmäßig über den aktuellen Stand der Problembeseitigung. Dafür mussten Schnittstellen für Kunden und Subunternehmer wohl teilweise umfangreich überarbeitet werden. Seit März 2024 sind die Arbeiten abgeschlossen.
GLS ist nicht der erste Paketdienstleister, bei dem Schwachstellen in Verbindung mit Sendungsverfolgungsnummern aufgedeckt wurden. Vergleichbare Probleme gab es bei DHL, DPD und UPS.
Mit UPS kann man auch weiterhin nicht kommunizieren wenn man eine E-Mail Adresse mit mehr...
Bei DHL war es kurze Zeit sogar so, dass im Tracking bereits die PLZ stand und darunter...
Kommentieren