Passauer Neue Presse berichtet über Datenpanne bei der DHL
13. Juli 2009 von Sebastian EhrhardtDie Passauer Neue Presse (PNP) berichtet am heutigen Montag in ihrer Passauer Ausgabe mit einem Artikel über die Datenpanne der DHL, über die ich zuletzt auf netzrecht geschrieben hatte.
Den Artikel findet ihr hier (anklicken für Großansicht):
Passauer Student deckt Datenpanne bei DHL auf
Sehr erfreulich, dass das Geschehen im Internet von den klassischen Medien nicht ausgeblendet wird. Gerade weil ich nicht dachte, dass mein Artikel derartige Wellen schlägt, freue ich umso mehr über die positive Resonanz!
Insgesamt gelesen: 1833 · heute: 2
netzrecht.org ist ein Blawg zum Thema Recht in der digitalen Gesellschaft. Aktuelle Entwicklungen und Geschehnisse im Netz sollen unter rechtlichen Aspekten analysiert werden. Du möchtest mehr erfahren? Dann 
Webseite | 13. Juli 2009 um 13:34 Uhr
“Fehler inzwischen behoben” Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts.
Webseite | 13. Juli 2009 um 16:02 Uhr
@Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr…
Webseite | 14. Juli 2009 um 11:27 Uhr
Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann.
Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen.
Ein kleines Beispiel zur Erläuterung.
Kontaktformular
Feld 1: name / Feld 2: email / Feld 3: mitteilung
Nach dem Ausfüllen und einem Klick auf “Senden” wird folgendes übertragen:
http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt
Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen.
Wer ausschließen möchte das “name” von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der “name” verarbeitet.
So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld “Referenznummer”. Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen.
Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O)
Webseite | 14. Juli 2009 um 16:55 Uhr
Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis:
“Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor.”
Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen.
Webseite | 15. Juli 2009 um 14:27 Uhr
Weiter so, Sebastian!
Danke & Gruß
Oliver