Kriminelle konnten offenbar auf die Paketfächer der etwa acht Millionen Packstation-Nutzer zugreifen. Die Sicherheitslücke bestand seit Anfang Juni und wurde mittlerweile geschlossen, wie das Computermagazin c't berichtet. Dabei ging es jedoch nicht vorrangig darum, die Bestellungen der Kunden zu stehlen. Die Kriminellen ließen sich vielmehr illegale Waren wie etwa Drogen an fremde Paketfächer liefern.
Das Problem lag offenbar in der App "DHL Paket". Um eine Lieferung an einer Packstation abzuholen, ist eine mTan nötig. Früher verschickte DHL diese Sicherheitscodes nur per SMS; Hacker benötigten also Zugriff auf das Handy, wenn sie die Packstation öffnen wollten. Im Juni schaltete das Unternehmen jedoch eine Funktion für die App frei, mit der sich Kunden den vierstelligen Code im Programm anzeigen lassen. Das ermöglichte es Fremden, das Paketfach zu leeren, wenn sie die Zugangsdaten der Kunden kannten. Wie sie sich diese Daten ergaunerten, ist nicht bekannt. Zusätzlich brauchten die Kriminellen eine DHL-Kundenkarte. Wie c't schreibt, lassen sich diese Karten mit Magnetkartenschreibern duplizieren, die Packstation habe den Missbrauch nicht erkannt.
Nachdem der Sicherheitsexperte Hanno Heinrichs die Lücke entdeckt und sich an c't gewandt hatte, konfrontierte die Zeitschrift DHL am 8. Juni mit dem Problem. Man habe empfohlen, "die betroffene Funktion umgehend abzuschalten". DHL sah jedoch keinen Handlungsbedarf: Es bestehe "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko". Das war offensichtlich eine Fehleinschätzung: Gut eine Woche später gab DHL zu, dass die Lücke doch schwerwiegender war als gedacht. Anscheinend wurde in Untergrund-Foren im Internet ein Tool angeboten, die es den Käufern ermöglichte, die Schwachstelle ohne Schwierigkeiten auszunutzen, um sich Pakete im Namen echter Packstation-Kunden liefern zu lassen. DHL habe erklärt, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren".
Am Montag sagte DHL der c't, dass die Funktion der App aus Sicherheitsgründen abgeschaltet werde. Bevor sich Kunden wieder mTans per App zuschicken lassen können, solle die Übertragung "technisch weiter optimiert" werden. Will man derzeit als registrierter Nutzer in der App die mTan-Funktion aktivieren, erhält man eine Fehlermeldung und wird vertröstet: "Bitte versuchen Sie es später erneut."