Een datalek in het track en tracesysteem van DHL zorgt ervoor dat klantgegevens onbeschermd zijn voor derden. Namen, adressen en levertijden zijn zo makkelijk te achterhalen. Dat heeft computerexpert en publicist Tobias Eggendorfer van het Duitse vaktijdschrift Linux bekendgemaakt, zo meldt Logistiek.nl.
Eggendorfer kwam het lek per toeval op het spoor toen hij de ‘zendvolg link' aanklikte voor een pakket die hij via een webwinkel in zijn email had ontvangen. Na die handeling toonde de internetbrowser van de computerdeskundige niet alleen het leveradres van zijn eigen pakket, maar ook de leveradressen van twee andere DHL-klanten. Ook kreeg hij te zien wanneer deze klanten precies hun pakket in ontvangst hadden genomen.
Eggendorfer heeft vervolgens een klein softwareprogramma geschreven in een shellscript waarmee hij met behulp van willekeurige pakketnummers binnen enkele seconden honderd adressen van DHL-klanten boven water kon halen. Dit bleek heel eenvoudig, volgens Linux Magazine, omdat de link in de mail naar Eggendorfer over een onversleuteld paswoord beschikte.
Alle adressen die op deze wijze zijn gevonden, waren afkomstig van de verzender (webshop) waar ook Eggendorfer zijn order had geplaatst. Met een verbeterde Linux-Script is het hem ook gelukt, om de inlogcodes en wachtwoorden van zowel pakketleveranciers als klanten te identificeren.
DHL zegt in een reactie op het artikel in Linux dat er geen beveiligingsgat zit in het track & tracesysteem. Het zou volgens het bedrijf te maken kunnen hebben met 'onoplettendheid van de webshopeigenaar doordat hij zijn klanten toegang heeft gegeven tot zijn interne verzendmanagement.' Dat deze onoplettendheid zich niet beperkt tot een uitzondering en dat eigenlijk het systeem van DHL de oorzaak is van het probleem schijnt DHL inmiddels wel te erkennen. "Om onze klanten te beschermen is besloten om ze op te hoogte te brengen van dit verhaal in Linux Magazine. Ook zal de track & trace functie voor intern zendingsbeheer gedeactiveerd worden."
‘Track en tracesysteem DHL lekt’
Gepubliceerd op 6 november 2008 om 00:00
Reacties 0