My Post 24 hat grosse Sicherheitslücken

Zurzeit rüstet die Post die Packet Abholung auf Ihre Automaten My Post 24 um. Die Pakete können nicht mehr auf der Poststelle abgeholt werden, sondern müssen über den Automaten bezogen werden. Leider ist dort keinerlei Sicherheit vorhanden.

Packetation My Post 24

Der Hacker HCZ hat der Redaktion gezeigt wie er ohne einen Paket Abholungseinladung ein Packet aus dem Automaten beziehen kann.

Zuerst fischt er den Packet Abholschein aus einem Briefkasten. Denn drauf vorhanden QR-Code wird mit dem Handy abfotografiert. Anschliessend geht er mit dem Handy zur My Post 24.

Dort muss er nur den QR-Code scannen. Anschliessend denkt Mann muss man wirklich die Daten des Empfängers eingeben. Falsch gedacht. Es reicht wenn man z.B. Hans Muster eingibt. Klar ist es unauffälliger wenn man die Daten welche auf dem Briefkasten steht verwendet wird. Aber wenn man sich der Name nicht merken kann reicht auch Hans Muster.

Bildschirmeingabe beim Namen

Im nächsten Feld will das System eine Unterschrift. Unterschriften zu fälschen ist ja eine Straftat, deshalb haben wir dieses hinterlassen.

Unterschrift Eingabe bei My Post 24

Das Rote ist kein Bildschirmfehler. Aus Datenschutzgründen haben wir die
Packet Nummer abgedeckt.

Nach der Betätigung des Bestätigungsknopf geht ein Tor auf, aus dem man das Packet rausnehmen kann.





Offene Tür von My Post 24

Fazit ist: Bei der Packet Station wird nur der QR-Code abgeglichen. Alle anderen Daten die vorhanden sein müssten, werden von den Stationen nicht abgeglichen. Das Öffnet Betrügern eine neue Tür auch Pakete von der Post abzuholen, wenn nur ein Packet Schein vorhanden ist.

Für uns ist es sehr bedenklich dass eine Firma welche E-Voting machen will, nicht einmal eine sichere Lösung für die Paketzustellung machen kann, obwohl es das Hauptgeschäft ist.

Autor Xaver Aerni
Geschrieben am 12.10.2019
Veröffentlich in der Ausgabe Oktober 2019
(C)opyright 2019 by Hackernews
Sonstige Nachschlagewerke oder Infos NONE

Schreibe einen Kommentar