Down the Parcel Hole
Dennis Kniel and Florian Bausch
Dieser Vortrag beschreibt, wie wir fehlerhafte Prozesse in der Paketverfolgung der meisten deutschen Paketzustelldienste entdeckt haben, wie diese auf unsere Erkenntnisse reagiert haben und warum dies sehr wahrscheinlich auch deine Privatsphäre betrifft.
In Zeiten des Online-Shoppings sind die Menschen besorgt, ob Online-Shops ihre Daten vernünftig behandeln und sichern. Online-Shops können über gängige Web-Schwachstellen wie SQL-Injections, XSS usw. angegriffen werden. Dadurch könnten Angreifer persönliche Informationen wie Name, Adresse und Bankdaten kopieren.
Wir haben jedoch eine noch einfachere - und bisher unbeachtete - Möglichkeit gefunden, an die persönlichen Daten der Kunden von Online-Shops zu gelangen - ohne irgendwelche Schwachstellen auszunutzen. Da fast alle online bestellten physischen Waren von Paketdiensten ausgeliefert werden, haben wir das Tracking der wichtigsten Akteure im deutschen Paketmarkt analysiert.
Durch die Verwendung öffentlich zugänglicher Daten und trivialer Statistik konnten wir Empfängerinformationen (Name, Adresse) schnell und in großer Zahl ermitteln. Dabei war es bei einigen Diensten sogar möglich, die Zustellung von Paketen zu beeinflussen. Gezielte Angriffe könnten dazu führen, dass Adressen und Einkaufsverhalten von Politikern und anderen Personen des öffentlichen Lebens aufgedeckt werden. Auch die Identifizierung von Kunden bestimmter Geschäfte ist denkbar. Die Art und Weise, wie die Sendungsnummern generiert werden, ermöglicht es uns nämlich, gezielt bestimmte Online-Shops anzugreifen.
Während unserer Recherche haben wir mehrere Paketdienste kontaktiert (Responsible Disclosure), was zu einigen Verbesserungen führte. Einige Disclosure-Prozesse hatten schnelle und effektive Maßnahmen zur Folge und können als gute Beispiele dienen, während andere noch Raum für Optimierungen bieten. Wir werden auch darüber reden, wie Disclosure-Prozesse besser ablaufen können, und werden ein paar unterhaltsame Ereignisse darstellen.
Wir kommen zu dem Schluss, dass Paketdienste eine - vielleicht - unterschätzte Gefahr für die Privatsphäre darstellen. Anstatt zahllose Online-Shops anzugreifen, ist der Missbrauch fehlerhafter Prozesse bei den wenigen marktbeherrschenden Paketzustelldiensten, die von fast allen Shops genutzt werden, ein ziemlich effizienter Weg, um an Adressen und in einigen Fällen an die Möglichkeit zu gelangen, in den Zustellprozess einzugreifen.
In unserem Vortrag werden wir den statistischen Ansatz zum Brechen der Authentifizierung für die Paketverfolgung, die zugrundeliegenden Probleme, (negative und positive) Highlights aus den Disclosure-Prozessen und natürlich die Auswirkungen auf die Privatsphäre aufzeigen, die dies gehabt haben könnte und noch haben kann. Bei der diesjährigen GPN sprechen wir zum ersten Mal über zwei Paketdienstleister, die bei uns bisher noch nicht zur Sprache kamen, GLS und UPS. Zum Zeitpunkt der Veröffentlichung war die Schwachstelle bei UPS noch nicht behoben.