Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:

| Über netzrecht | Impressum | Kontakt
  
 
   



Passauer Neue Presse berichtet über Datenpanne bei der DHL

13. Juli 2009 von Sebastian Ehrhardt

Die Passauer Neue Presse (PNP) berichtet am heutigen Montag in ihrer Passauer Ausgabe mit einem Artikel über die Datenpanne der DHL, über die ich zuletzt auf netzrecht geschrieben hatte.

Den Artikel findet ihr hier (anklicken für Großansicht):

Passauer Student deckt Datenpanne bei DHL auf

Passauer Student deckt Datenpanne bei DHL auf

Sehr erfreulich, dass das Geschehen im Internet von den klassischen Medien nicht ausgeblendet wird. Gerade weil ich nicht dachte, dass mein Artikel derartige Wellen schlägt, freue ich umso mehr über die positive Resonanz!


Insgesamt gelesen: 1833 · heute: 2

5 Kommentare

  1. Michael Schwarz

    “Fehler inzwischen behoben” Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts.

  2. Sebastian Ehrhardt

    @Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr…

  3. Michael Schwarz

    Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann.

    Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen.

    Ein kleines Beispiel zur Erläuterung.

    Kontaktformular
    Feld 1: name / Feld 2: email / Feld 3: mitteilung

    Nach dem Ausfüllen und einem Klick auf “Senden” wird folgendes übertragen:
    http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt

    Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen.

    Wer ausschließen möchte das “name” von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der “name” verarbeitet.

    So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld “Referenznummer”. Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen.

    Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O)

  4. Michael Schwarz

    Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis:

    “Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor.”

    Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen.

  5. oliver

    Weiter so, Sebastian!

    Danke & Gruß
    Oliver

Kommentar abgeben


Kurznachrichten


netzrecht.org ist ein Blawg zum Thema Recht in der digitalen Gesellschaft. Aktuelle Entwicklungen und Geschehnisse im Netz sollen unter rechtlichen Aspekten analysiert werden. Du möchtest mehr erfahren? Dann hier klicken!

  Artikel von netzrecht abonnieren
  netzrecht bei Twitter verfolgen

netzrecht - Recht in der digitalen Gesellschaft auf Facebook

  1. www.kino.to & Co. - Urheberrechtliche Zulässigkeit von Video-Streams (9686) vom 19.07.2009
  2. Live: Diskussionsforum zu Internetsperren - Überwachungsstaat oder Schutz von Kinderrechten und Menschenwürde? (7719) vom 28.07.2009
  3. Datenpanne bei der DHL? Sendungsverfolgung für fremde Pakete (6697) vom 10.07.2009
  4. Thomas Hoeren über das Urheberrecht in der digitalen Gesellschaft (5821) vom 20.07.2009
  5. Verlosung: Drei "Meine Daten und ich" DVDs zu gewinnen (2005) vom 31.07.2009

Sollte der Anschlussinhaber eines offenen WLAN-Netzes für Rechtsverletzungen haften, welche (unbekannte) Dritte über seinen Anschluss begehen?

View Results

Robert Diener: War das der Anfang von Ende der Urheberrechte? Hier gibt es eine interessante Diskussion dazu:...
Hanns: Wo ist da die Logik? Fallbeispiel 1: Herr A hat sein WLAN nicht gesichert. Täter B begeht über dieses WLAN...
Freesurfer: Sollte der Anschlussinhaber eines offenen WLAN-Netzes für Rechtsverletzungen haften, welche (unbekannte)...
ak: Eine Haftung mag man noch annehmen können, bei der Frage des Schadensersatzes wird es da schon schwieriger. Man...
Dr. Wachs: Sehr übersichtlicher Artikel. Online-Gaming ist ein richtiges Problem geworden. Nichts ahnend tauschen...

2009 2010 BKA-Gesetz Blogs Datenpanne Datenschutztag DHL Erfahrungsbericht Google Haftung Hoeren Impressumspflicht Internetrecht Internetsperren IT-Recht IT-Sicherheit Kinderpornographie netzrecht.org Netzsperren Passau Studium Telemedien Twitter Unternehmenspraxis Update Urheberrecht Video Vorratsdatenspeicherung WLAN Zugangserschwerungsgesetz

Mai 2010
April 2010
März 2010
Februar 2010
Januar 2010
Dezember 2009
November 2009
Oktober 2009
September 2009
August 2009
Juli 2009
Juni 2009

Aktuelles: IT-Recht-Update: Aktuelles aus der Rechtsprechung - Mai 2010
Bloggen & Recht: Session zum rechtskonformen Blogging
Datenschutz: ePetition gegen die Zulassung von Ganzkörper-Nacktscanner
Film: Meine Daten und ich - Wenn die Sicherheit die Bürgerrechte bedroht
Intern: Umfrage: Haftung des Betreibers eines offenen WLANs?
Internetrecht: Update: BGH entscheidet über Haftung für verschlüsselte WLAN-Netze
Politik im Netz: aspekte (ZDF) - Beitrag zum Zugangserschwerungsgesetz
Spielerecht: Recht in den virtuellen Welten - Eine rechtliche Annäherung
Studium: Reihe: Studium IT- und Medienrecht - Erfahrungsbericht aus Passau
Urheberrecht: BGH: Google Bildersuche verletzt keine Urheberrechte
Veranstaltungen: 1. IT LawCamp am 20. März 2010 in Frankfurt am Main

© 2009-2010 netzrecht.org | Recht in der digitalen Gesellschaft