Ein Designfehler in der Paketverfolgung der Zustelldienste DHL und des chinesischen Versenders Yun Express führte dazu, dass Dritte die Empfängeradressen deutscher DHL-Kunden einsehen konnten.

Wenn du etwas in China bestellst, wird die Ware durch chinesische Paketdienste nach Europa geliefert, während die Endzustellung an den Empfänger durch nationale Paketdienste wie DHL in Deutschland erfolgt. Kunden erhalten normalerweise eine Tracking-Nummer, über die sie den Sendungsstatus abfragen können.

Jedoch hat Yun Express bei der Implementierung der Tracking-Nummern gepatzt. Die letzten Ziffern dieser Nummern wurden fortlaufend vergeben, was es Dritten ermöglichte, persönliche Daten deutscher Empfänger zu sehen.

Paketempfänger erhielten aus China eine Tracking-Nummer für die Sendung und konnten sie in das parcelsapp.com-Portal eingeben. Das Portal zeigte die Sendungsdaten und den Versandstatus an. Zusätzlich zu der Tracking-Nummer zeigte das Portal auch Informationen zum Ursprungs- und Zielland der Sendung sowie dem Auslieferer und dem Auslieferungsstatus an.

Einem Softwareentwickler, der etwas in China bestellt hatte, fiel auf, dass das parcelsapp.com-Portal von Yun Express nicht nur die DHL-Sendungsnummer, sondern auch weitere Daten wie die Postleitzahl des Ziels lieferte. Mittels dieser Informationen konnten die persönlichen Daten deutscher Empfänger im DHL-Sendungsverfolgungsportal abgerufen werden.

Es stellte sich die Frage, ob möglicherweise ein Verstoß gegen die DSGVO vorliegt, wenn Dritte persönliche Daten von Sendungsempfängern einsehen können.

Die Untersuchungen führten zu ähnlichen Ergebnissen wie bei anderen Paketdiensten. Die GLS-Paketverfolgungswebsite zeigte den geografischen Bereich des Empfängers an, indem der Name des Ziel-Paketzentrums angezeigt wurde. Durch die fehlenden Maßnahmen zur Verhinderung von Brute-Force-Angriffen konnten Angreifer mit Zugriff auf eine gültige Tracking-Nummer weitere gültige Tracking-Nummern von anderen Kunden herausfinden.

Nachdem die Schwachstellen gemeldet wurden, arbeitete GLS an Lösungen, um die Sicherheit zu verbessern. Die Zusammenarbeit verlief reibungslos, und GLS investierte Zeit in die Analyse der Schwachstellen sowie in mögliche Fixes und Maßnahmen.