Zu kurze Sendungsnummern: Liefery mit Fehlern beim Tracking

Die eigene Sendung ganz bequem online verfolgen und den Status abfragen, ist für Kunden ein gern genutzter Service. Der Lieferdienst Liefery hat es mit dem Datenschutz allerdings offenbar nicht so genau genommen und zu kurze, leicht erratbare Sendungsnummern vergeben.

© Screenshot liefery.com

Liefery will mit seiner Same-Day-Delivery-Option den Global Playern auf dem Lieferservice-Markt den Kampf ansagen. Dabei arbeitet das Unternehmen bereits mit großen Firmen wie Amazon, Zalando und Media Markt zusammen. Das Frankfurter StartUp geriet jetzt aber eher durch erhebliche Datenschutzprobleme in die Schlagzeilen. Wie Golem berichtet, wurde das Portal von zwei Berliner Softwareentwicklern auf eine gravierende Sicherheitslücke bei Liefery hingewiesen. Die Trackingnummern, bestehend aus einer fünfstelligen Zahlen- und Buchstabenkombination, waren so kurz, dass sie sich relativ einfach herausfinden ließen. Aus Datenschutzgründen natürlich ein absolutes Desaster.

Trackingnummern geben pikante Details über Empfänger preis

Auf Grundlage der bekannt gewordenen Sicherheitslücke testete Golem auf der Liefery-Webseite die Sendungsnummern. Bereits nach rund 1.000 Versuchen stieß man auf eine gültige Kombination. Ein Limit an Versuchen, wie oft man eine Nummer in das entsprechende Feld eingeben konnte, stelle Golem nicht fest. Das Problem wurde aber nicht nur durch die zu kurzen Sendungsnummern offensichtlich, da man mit dieser allein nur wenig Informationen über eine Lieferung erhält. Der Knackpunkt sind hier die dazugehörigen Postleitzahlen, mit denen man erheblich mehr private Details erfährt. Da Liefery bisher nur ein sehr eingeschränktes Liefergebiet hat – was sich auf der Website leicht finden lässt - sind auch die Chancen, die passende Postleitzahl zu finden, relativ groß. Mit Sendungsnummer und Postleitzahl lassen sich so erheblich viele vertrauliche Details herausfinden, wie neben der Adresse und Telefonnummer auch der Ort, wo ein Bote das Paket bei Abwesenheit des Empfängers abgeben kann. Diese Informationen können in den falschen Händen durchaus gefährlich werden.

Sicherheitslücke wieder geschlossen

Nachdem Golem den Lieferservice auf das Problem aufmerksam gemacht hat, hat das Unternehmen sofort Verbesserungen bei seiner Trackingmethode vorgenommen. Zum einen sind alle Sendungsnummern von Liefery nun zehnstellig und damit deutlich schwerer zu erraten. Außerdem gibt es keine unbegrenzten Versuche mehr, die Postleitzahl einzugeben. Auch mit einer korrekten Trackingnummer sind die Versuche auf drei beschränkt. Anschließend wird die Detailansicht einer Sendung blockiert.