Passauer Neue Presse berichtet über Datenpanne bei der DHL
von Sebastian Ehrhardt | Kurzlink: http://netzrecht.org/?p=152
Zuletzt überarbeitet am 28. August 2011 | Insgesamt gelesen: 1670 · heute: 4
Die Passauer Neue Presse (PNP) berichtet am heutigen Montag in ihrer Passauer Ausgabe mit einem Artikel über die Datenpanne der DHL, über die ich zuletzt auf netzrecht geschrieben hatte.
Den Artikel findet ihr hier (anklicken für Großansicht):
Sehr erfreulich, dass das Geschehen im Internet von den klassischen Medien nicht ausgeblendet wird. Gerade weil ich nicht dachte, dass mein Artikel derartige Wellen schlägt, freue ich umso mehr über die positive Resonanz!
“Fehler inzwischen behoben” Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts.
@Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr…
Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann.
Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen.
Ein kleines Beispiel zur Erläuterung.
Kontaktformular
Feld 1: name / Feld 2: email / Feld 3: mitteilung
Nach dem Ausfüllen und einem Klick auf “Senden” wird folgendes übertragen:
http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt
Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen.
Wer ausschließen möchte das “name” von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der “name” verarbeitet.
So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld “Referenznummer”. Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen.
Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O)
Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis:
“Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor.”
Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen.
Weiter so, Sebastian!
Danke & Gruß
Oliver