Heutzutage bestellen die meisten Menschen auch Waren über das Internet. Neben den Onlineshops besuchen die Käufer häufig auch Internetpräsenzen von Paketdienstleistern, um beispielsweise eine Sendungsverfolgung ihrer Pakete durchzuführen. Oft kommt es also vor, dass recht unerfahrene Nutzer eine für sie unbekannte Internetseite besuchen müssen.
Eine solche Situation könnten sich Cyberkriminelle zu Nutze machen, um Kundendaten oder ähnliches auszuspionieren. Einem solchen Fall wollten wir zuvorkommen und die Betreiber über diese kritischen Sicherheitslücken informieren, damit so etwas gar nicht erst passieren kann. Das ist sicher im Interesse aller Beteiligten.
Der größte Paketdienstleister in der Bundesrepublik Deutschland ist die DHL (DHL International GmbH). Das Unternehmen ist im Logistikbereich tätig und Teil der deutschen Post AG, es besitzt eine recht große Internetseite mit vielen praktischen Funktionen für den Nutzer. So gibt es beispielsweise die schon zuvor angesprochene Sendungsverfolgung von Paketen, Newsletterfunktionen, aber auch einen Onlineshop, welcher Lücken auf der Internetseite bedeutend kritischer macht, da sensible Kundendaten betroffen sein könnten.
Also begannen wir mit der üblichen Prozedur, dem Überprüfen von Seiten und der Suche nach auffälligen Parametern. Nach einiger Zeit auf der Internetseite erkannten wir, dass die Parameter häufig sehr gut gefiltert wurden und somit ein Einschleusen fremden Codes fast unmöglich war. Es handelte sich um eine recht gute Filterung (Maskierung der Parameter). Allerdings stellten wir einige Ausnahmen fest, bei denen die Vorkehrungen nicht griffen. Wir fanden insgesamt 3 XSS Lücken in verschiedenen Bereichen der Seite. Unter anderem im Newsletterscript mit der Subdomain (newsletter.dhl.de), aber auch im Bereich der Partner mit der Subdomain (partner.dhl.de). Kriminelle könnten mit solchen Lücken versuchen Phishing zu betreiben, um an Kundendanten zu gelangen.
Diese Lücken melden wir natürlich sofort an der zuständige Stelle, die IT Sicherheitsabteilung der deutschen Post (23.09.2012), die als Mutterunternehmen verantwortlich für den Bereich der IT Security ist.
Nachdem wir routinemäßig eine Woche später feststellten, dass die Lücke behoben wurde, waren wir zunächst etwas enttäuscht, dass man sich nicht zurückgemeldet hatte. Die Schließung der Lücken freut uns natürlich, noch lieber haben wir es jedoch, wenn auch das Unternehmen mit uns Kontakt aufnimmt und uns beispielsweise über weiteres Vorgehen informiert bzw. sich bedankt. Das gibt uns auch häufig noch mehr Motivation für weiteres engagiertes Arbeiten in der Internetwache und für ein sichereres Internet. Umso mehr waren wir erfreut, als man sich doch noch, allerdings etwas verspätet meldete (11.10.2012). Man bedauerte, dass man sich nicht früher gemeldet hatte, und bedankte sich sehr nett für die hilfreichen Informationen, denn man betreibe selber Penetrationtests, bei denen man diesen Teil der Seite übersehen zu haben schien.
Damit können wir diesen Fall erst einmal “zu den Akten legen” und freuen uns das Internet wieder ein Stück sicherer gestalten zu konnten. Wieder einmal ein erfolgreicher Fall. Wir bedanken uns bei allen Beteiligten für den kompetenten und verantwortungsvollen Umgang mit den Lücken und wünschen allen Nutzern von Paketdienstleistern wie DHL einen sicheren Online-Kauf.
Screenshots