Beim Paketversender DHL scheint es (zum Jahresanfang) eine Datenschutzpanne gegeben zu haben, bei denen ein Nutzer die Daten anderer Personen beim Paket-Tracking einsehen konnten. Das Ganze ist durch einen Betroffenen gegenüber RTL offen gelegt worden. Ob es ein Einzelfall war, wie DHL in einer Stellungnahme angibt? Falls noch jemand betroffen war, kann er sich ja per Kommentar melden.
Anzeige
Während der Coronavirus-Pandemie ist der Anteil an Sendungen, die durch Paketdienste wie DHL, DPD, Hermes etc. transportiert wird, stark angestiegen. Den Kunden wird vom Versender einen sogenannte Tracking-ID zugestellt, über die er die Sendung bis zur Zustellung verfolgen kann. Genau dort scheint es bei DHL jetzt zu einer Datenschutz-Panne gekommen zu sein.
Kunde sieht fremde Tracking-Daten
DHL-Kunde Ralf Weck hatte Sendungen, die er Online bestellt hat, über die jeweilige Tracking-Nummer in der DHL-App verfolgt – ein Vorgang, der millionenfach passiert. Als Ralf Weck eine dieser Tracking-IDs in der App eingab, staunte er aber nicht schlecht, wurden ihm doch die Sendungsdaten einer fremden Familie angezeigt.
(DHL-Datenschutzpanne, Quelle: RTL.de)
DHL-Support reagiert nicht, RTL eingeschaltet
Weck versuchte, laut eigener Aussage, das Problem beim DHL-Support anzubringen, landete aber in einem Callcenter, wo niemand Interesse an einer Klärung hatte. Darauf hin kontaktierte Ralf Weck dann RTL über deren Zuschauer-Post, und schickt Bildschirmabzüge des Vorgangs mit (siehe nachfolgenden Screenshot mit dem Ausriss der DHL-App). RTL hat dann das Ganze bereits Mitte Januar 2021 veröffentlicht und auch eine Stellungnahme von DHL eingeholt.
DHL erklärt den Vorfall
Laut dem Versender DHL sei dies ein Einzelfall, der auf Grund einer Fehlbedienung eines anderen Kunden passiert ist. Die Antwort der DHL-Pressesprecherin an RTL, die ich nachfolgende mal komplett zitiere, lautet:
Herrn Weck wurden in seiner App Paketsendungen eines anderen Nutzers angezeigt, da dieser andere Nutzer eine Packstation fehlbedient hat, d.h. einen Vorgang an der Packstation nicht ordnungsgemäß abgeschlossen hat. Somit wurden die Paketsendungen dieses Nutzers fälschlicherweise Herrn Weck zugeordnet, der die Packstation unmittelbar im Anschluss genutzt hat. Um so etwas zu vermeiden, haben wir technische Vorgangssperren an unseren Packstationen eingerichtet, die grundsätzlich auch greifen – in diesem Einzelfall jedoch leider nicht.
Wir empfehlen unseren Packstationskunden immer, die Bedienung der Packstation mit der Beantwortung aller noch offenen Abfragen ordnungsgemäß zu beenden, bevor sie den Automaten wieder verlassen, damit ein Fall, wie er hier beschrieben ist, gar nicht erst auftreten kann. Aber auch hier gilt, dass wir grundsätzlich immer an weiteren Verbesserungen unserer Services im Rahmen unserer regelmäßigen Qualitätsmaßnahmen arbeiten.
Dass Herr Weck von unserem Kundenservice keine zufriedenstellende Antwort erhalten hat, tut uns sehr leid. Wir können Herrn Weck auf jeden Fall versichern, dass seine Daten sicher sind und nicht, wie von Herrn Weck befürchtet, ein Datenleck besteht.
Im aktuellen Beispiel scheint es dann wohl ein Einzelfall zu sein. Für die betroffenen Kunden hat es aber unangenehme Folgen. Für die fremde Familie sind persönliche Daten (auch über den Versender) an Dritte gegangen. Und Herr Weck steht vor dem Problem, dass er keine Einlieferungsbelege für Sendungen erhält, die er selbst über eine Packstation verschickt (das Problem gibt es ja häufiger, wie Benutzerkommentare zum Blog-Beitrag Schwere IT-Panne bei DHL für Packstationen, ‚Pakete verschwinden' nahelegen). Zudem gibt es die latente Befürchtung des Kunden, dass Dritte auf ähnlichem Wege seine persönlichen Daten einsehen könnten.
Pannen bei DHL und Phishing als Risiko
Das ist nicht die einzige Panne bei DHL – Anfang Januar 2021 hatte ich im bereits erwähnten Artikel Schwere IT-Panne bei DHL für Packstationen, ‚Pakete verschwinden' über ein weiteres IT-Problem mit DHL-Packstationen berichtet. Zudem sind DHL-Kunden ein attraktives Ziel von Phishern und Online-Betrügern, wie ich in nachfolgenden Blog-Beiträgen sowie im Post Vorsicht: Wieder DHL-Phishing mit Zollabfertigungsgebühr aufgezeigt habe. Abschließende Frage: Noch jemand, dem etwas ähnliches wie Herrn Weck mit der DHL-Tracking-App passiert ist?
Ähnliche Artikel:
Vorsicht! Abofalle per SMS (DHL Paket Info DE-SAM32013)
Verbraucherschutz warnt vor Abofalle per Fake-DHL-Info
Vorsicht: Wieder DHL-Phishing mit Zollabfertigungsgebühr
Fake-DHL-Mail mit unbekanntem Keylogger im Gepäck
Brand Phishing Report Q4 2020: Microsoft und DHL ganz vorne dabei
DHL-Packstation-App und die Sicherheit
Schwere IT-Panne bei DHL für Packstationen, ‚Pakete verschwinden'
Anzeige
2015
Erstaunliche Zeitgleichheit:
In einem anderen Forum wurde ein json-Abfrage des Lieferstatus gezeigt. Wenn jemand die Auftragnummern "brute-forced", könnte es ein leak geben.
Ich kenne keine DHL-Auftragsnummer, kann also nicht über event. Systematiken sagen.
Die Auftrags-Nummern sind ja nicht geade kurz (nett wenn der Leser nicht geht) und so weit ich sehe, nicht wirklich sortiert.
Könnte das der Grund sein, warum ich am 13. Januar per SMS(!) von DHL unfreundlich aufgefordert worden bin, meinen Paketstation-Zugang zu reaktivieren?
Wenn da die Daten durch einander gegangen sind, warum sollten die Passwörter nicht auch davon betroffen sein?
Oder war das ein einzelner Hack-Versuch meiner Packnummer? Oder hat mich da wer ärgern wollen und einfach meine, ja nicht geheime, Packnummer irgendwo mehrfach mit einem gewollt falschen Passwort "gestestet" hat?
Hatte das nochh wer an dem Tag?
DHL verschickt eigentlich keine SMS mehr, da geht eigentlich alles per Mail. Ich hoffe, du hast nicht irgendeinen Link angeklickt. In jedem Fall solltest du dein Passwort ändern, dabei aber direkt auf die DHL-Webseite gehen und keinen Links folgen.
Eine Fehlbedienung bei Packstationen scheint nicht so selten zu sein. Ich habe schon öfters offene und leere Fächer vorgefunden. Mir ist es anfänglich auch schon mal passiert, das ich ein Fach ausgewählt habe aber dann wohl irgendetwas falsch gemacht habe, sodass das Fach nicht mehr abgeschlossen wurde. Ich habe dann den Vorgang nochmals neu von Anfang an gemacht, da hat dann alles geklappt. Aber das Türchen des ersten Faches ließ sich nicht mehr schließen, obwohl alle Vorgänge beendet waren und der Startbildschirm angezeigt wurde. Was ich da falsch gemacht habe, konnte ich leider nicht mehr nachvollziehen.
Welche Art Packstation war das?
Die "Karusell" oder die "Nur-Fächer".
Bei den Karusell soll es schon vogrkommen sein, das zu kleine Briefe durchgerutscht sind. Und bei den "Nur-Fächer" kleine Briefe ans ende der 60cm geschleudert worden sind, kaum sichtbar.
"Offene Fächer" entstehen wenn jemand das Fach nicht innerhalb einer gewissen Zeit geschlossen hat (ach)
Der Hintergrund ist wohl, das niemand das Fach als "Toten Briefkasten" missbrauchen können soll, also selbst dort etwas (Rauschgift,Waffen?)
hinter legen können soll, der dann nur die PIN bräuchte…oder halt selbst ein Paket aufgeben will, aber statt dessen das hinterlegte Paket aus dem vermeintlich leeren Fach nimmt. Aber keine Ahnung ob das wirklich klappen würde.
Ich sehe sehr selten ein offenstehendes Fach.
(Die Packnummer kann man inzwischen wieder manuell eingeben, man braucht netterweise keine Karte mehr. (Wäre auch witzlos, da man die Karte ja einfach fotokopieren oder den Barcode selbst drucken könnte))
Die eine Packstation hier (Outdoor-Wand mit Fächern) hat so eine unangenehme Eigenart, daß einige Fächer nicht mehr richtig schliessen, die muss man manchmal 10mal zudrücken, bis da irgendwas einrastet, die gehen immer wieder auf, offensichtlich ein mechanisches (oder magnetisches?) Problem. Das kommt immer ganz toll, wenn man mehrere Pakete abholen möchte, bin schon oft fluchend und drückend davor gestanden. Aber irgendwann hat es dann doch immer geklappt.
Offene Fächer sind oftmals auch offensichtlich kaputt. Schon mehrfach erlebt, die ließen sich nämlich mehr schließen.
Fächer die zulange offenstehen kann man nicht mehr schließen.
Das kann nur den Befüller.
Du kannst sie gerne zudrücken:
Sie rasten nicht wirklich ein.
Das ist Absicht.
Vielleicht will man so verhindern das ein böser 3. eine böse Überraschung für den Befüller hinterläßt? Es gibt so viele besch* Menschen…
(Wer gerade ein Paket abholt hat weiß DHL ggf. ja.)
Achso, habe mich da schon gewundert, weil das regelmäßig vorkommt. Danke für die Info!
Ich habe beim Paket*versand* via Packstation in den vergangenen Jahren mehrfach (!) erlebt, dass sich in dem zur Ablage öffnenden Fach ein Paket für einen Empfänger der jeweiligen Packstation befand. Seitdem nutze ich Packstationen für den Empfang von Sendungen annähernd gar nicht mehr.
Dann ruf die Hotline an. Ist ein normales Ferngespräch.
Ich habe das noch nie erlebt, das das Fach schon belegt war.
Vielleicht wird Deine PS von Dealern mißbraucht?
Oder die haben einen Verkablungsfehler?
Das war bei verschiedenen Packstationen und in einem der Fälle war ich nicht der Versender, sondern der Empfänger (der Versender hatte mein Paket dann mitgenommen, meine Kontaktdaten recherchiert und ich konnte die Sendung bei ihm abholen…) und ich bin eher kein Dealer :)
Ich habe seit über einer Woche ein Paket, welches an eine mir unbekannte, aber jetzt namentlich bekannte Person (inkl. Absenderdaten), adressiert ist. Dieses habe ich aus der Packstation erhalten nach Eingabe des mir zugestellten Abholcodes zu meiner erwarteten Sendung. Der Support hat mir mitgeteilt, ich solle dieses Paket in einen Shop oder direkt zur Post bringen. Da es sich um ein sehr großes XL-Paket handelt, habe ich das abgelehnt und auf Abholung von DHL bestanden. Darauf warte ich seither. Meine Frage, wie das passieren konnte, hat DHL ignoriert und nur geantwortet, dass es ihnen leid tue, dass ich unzufrieden bin… Das Thema Datenschutz scheint es bei DHL nicht zu geben. Noch so ein Einzelfall?