Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
| Über netzrecht | Impressum | Kontakt
  
  
   


Passauer Neue Presse berichtet über Datenpanne bei der DHL

13. Juli 2009 von Sebastian Ehrhardt

Die Passauer Neue Presse (PNP) berichtet am heutigen Montag in ihrer Passauer Ausgabe mit einem Artikel über die Datenpanne der DHL, über die ich zuletzt auf netzrecht geschrieben hatte.

Den Artikel findet ihr hier (anklicken für Großansicht):

Passauer Student deckt Datenpanne bei DHL auf

Passauer Student deckt Datenpanne bei DHL auf

Sehr erfreulich, dass das Geschehen im Internet von den klassischen Medien nicht ausgeblendet wird. Gerade weil ich nicht dachte, dass mein Artikel derartige Wellen schlägt, freue ich umso mehr über die positive Resonanz!

Insgesamt gelesen: 1476 · heute: 2

5 Kommentare

  1. Michael Schwarz
    Webseite | 13. Juli 2009 um 13:34 Uhr

    “Fehler inzwischen behoben” Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts.

  2. Sebastian Ehrhardt
    Webseite | 13. Juli 2009 um 16:02 Uhr

    @Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr…

  3. Michael Schwarz
    Webseite | 14. Juli 2009 um 11:27 Uhr

    Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann.

    Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen.

    Ein kleines Beispiel zur Erläuterung.

    Kontaktformular
    Feld 1: name / Feld 2: email / Feld 3: mitteilung

    Nach dem Ausfüllen und einem Klick auf “Senden” wird folgendes übertragen:
    http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt

    Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen.

    Wer ausschließen möchte das “name” von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der “name” verarbeitet.

    So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld “Referenznummer”. Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen.

    Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O)

  4. Michael Schwarz
    Webseite | 14. Juli 2009 um 16:55 Uhr

    Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis:

    “Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor.”

    Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen.

  5. oliver
    Webseite | 15. Juli 2009 um 14:27 Uhr

    Weiter so, Sebastian!

    Danke & Gruß
    Oliver

Kommentar abgeben

Kurznachrichten


netzrecht.org ist ein Blawg zum Thema Recht in der digitalen Gesellschaft. Aktuelle Entwicklungen und Geschehnisse im Netz sollen unter rechtlichen Aspekten analysiert werden. Du möchtest mehr erfahren? Dann hier klicken!

  Artikel von netzrecht abonnieren
  netzrecht bei Twitter verfolgen

netzrecht - Recht in der digitalen Gesellschaft auf Facebook

  1. www.kino.to & Co. - Urheberrechtliche Zulässigkeit von Video-Streams (6546) vom 19.07.2009
  2. Live: Diskussionsforum zu Internetsperren - Überwachungsstaat oder Schutz von Kinderrechten und Menschenwürde? (5091) vom 28.07.2009
  3. Datenpanne bei der DHL? Sendungsverfolgung für fremde Pakete (4928) vom 10.07.2009
  4. Thomas Hoeren über das Urheberrecht in der digitalen Gesellschaft (4228) vom 20.07.2009
  5. Verlosung: Drei "Meine Daten und ich" DVDs zu gewinnen (1667) vom 31.07.2009

Sollte der Staat verbotene Inhalte im Netz sperren können?

View Results

Dr. Wachs: Sehr übersichtlicher Artikel. Online-Gaming ist ein richtiges Problem geworden. Nichts ahnend tauschen...
S. H.: @Update2 Scheint wirklich nicht mehr zu funktionieren
T.S.: Gerade im Internet bedarf es europarechtlich einheitliche Regelungen. Es darf nicht in Österreich eine...
TS: Das Stoppschild ist Unsinn. Staatliche Stellen können sich direkt an die Suchmaschinenbetreiber und Provider...
Profan: www.providerzensur.de Denn nicht alle Provider zensieren..!

2009 BKA-Gesetz Blogs Datenpanne Datenschutztag DHL Erfahrungsbericht Grundrechte Hoeren Impressumspflicht Internetrecht Internetsperren IT-Recht IT-Sicherheit Kinderpornographie netzrecht.org Netzsperren Passau Studium Telemedien Twitter Unternehmenspraxis Urheberrecht Verfassungsbeschwerde Video Vorratsdatenspeicherung Wordcamp Wordpress YouTube Zugangserschwerungsgesetz

Januar 2010
Dezember 2009
August 2009
Juli 2009
Juni 2009

Bloggen & Recht: Session zum rechtskonformen Blogging
Datenschutz: ePetition gegen die Zulassung von Ganzkörper-Nacktscanner
Film: Meine Daten und ich - Wenn die Sicherheit die Bürgerrechte bedroht
Intern: Reihe: Studium IT-Recht und Geistiges Eigentum - Erfahrungsbericht aus Hannover
Internetrecht: Thomas Hoeren - Internetrecht (Stand: September 2009) verfügbar
Politik im Netz: aspekte (ZDF) - Beitrag zum Zugangserschwerungsgesetz
Spielerecht: Recht in den virtuellen Welten - Eine rechtliche Annäherung
Studium: Reihe: Studium IT- und Medienrecht - Erfahrungsbericht aus Passau
Urheberrecht: Doku: Was kommt nach dem Copyright?
Veranstaltungen: 1. IT LawCamp am 20. März 2010 in Frankfurt am Main

© 2009-2010 netzrecht.org | Recht in der digitalen Gesellschaft