DHL Packstation - Programmierkünste

basti007 · Beitrag von **basti007** » 07.07.2005, 17:27

Bei der deutschen Post habe ich eine Packstation-Karte. Damit kann ich Pakete an ein Packsystem schicken und es dort mit meiner Karte und PIN rund um die Uhr abholen. Auch kann ich damit Packete verschicken.

Nun, ich hab den Service noch nie genutzt. Warum? Ich hab die Karte seit einem Jahr und die PIN verschlampt. Diese wird seperat in einem Umschlag per Einschreiben eigenhändig zugeschickt. Auf die Sicherheit des Kunden legt die Post viel wert. Die Nachbestellung einer PIN kostet aber satte 10 Euro. Zuviel Geld für mich.

Im Internet hab ich dann versucht, die PIN einfach zu erraten. Es gibt dort im Login ein Formular, um seine alte PIN seiner Kartennummer in eine neue zu ändern. Das Formular wird über HTTPS aufgebaut, ist also scheinbar geschützt.

Nun tipp ich ein bischen rum in der Hoffnung, die PIN doch noch irgendwie zu erraten. Danach gucke ich mal gelangweilt in den (billig produzierten) JavaScript Code und was finde ich dort: Meine aktuelle PIN direkt im plain text... schwups, geändert, geklappt!

Soviel zum Thema Sicherheit bei der Post...

LAF · Beitrag von **LAF** » 07.07.2005, 18:07

Da hast du ja nochmal Glück gehabt, das du die sie da gefunden hast! Also mit der Sicherheit hat das wieder Null zu tun, wie ich aus deinen Post herausgehe!!

Es hätte dich ja sicher geärgert wenn du sie nachbestellt hättest, und dann dort erst nachgeschaut hättest das wäre dann mal was zum " Haare - Raufen" gewesen!

Certain · Beitrag von **Certain** » 07.07.2005, 19:13

basti007 hat geschrieben:Nun tipp ich ein bischen rum in der Hoffnung, die PIN doch noch irgendwie zu erraten. Danach gucke ich mal gelangweilt in den (billig produzierten) JavaScript Code und was finde ich dort: Meine aktuelle PIN direkt im plain text... schwups, geändert, geklappt!

Das muss ein Scherz sein, oder? Es wäre wirklich beunruhigend, wenn ein solches Weltunternehmen die Kundendatenverwaltung offenbar durch einen Betriebspraktikanten entwickeln ließe...

Hanuka · Beitrag von **Hanuka** » 07.07.2005, 19:14

Lucas_ArtsFan hat geschrieben:Also mit der Sicherheit hat das wieder Null zu tun, wie ich aus deinen Post herausgehe!!

Hää?

@basti:

Ist doch ein geniales Versteck. Welcher respektable Hacker durchforstet schon den Plain Text nach Passwörtern? Aber ernsthaft: schon die postalen Webmaster angemailt?

zeebee · Beitrag von **zeebee** » 07.07.2005, 20:09

Certain hat geschrieben: Das muss ein Scherz sein, oder? Es wäre wirklich beunruhigend, wenn ein solches Weltunternehmen die Kundendatenverwaltung offenbar durch einen Betriebspraktikanten entwickeln ließe...

Nix gegen Praktikanten! Ich kenne Firmen die gar nicht ohne fähige Praktikanten überleben würden...

DasJan · Beitrag von **DasJan** » 07.07.2005, 22:52

basti007 hat geschrieben:Packete

Mach das noch ein mal und du bist ein toter Mann!

basti007 hat geschrieben:seperat

Und das auch!

Das Jan

Hans · Beitrag von **Hans** » 08.07.2005, 07:38

Das klingt ja wirklich unglaublich.
Vorsichtshalber haben sie gleich mal die ganze Seite offline genommen.

Mic · Beitrag von **Mic** » 08.07.2005, 09:17

Haben wir nicht gerade ein Sommerloch? Ach ne, London..
Sonst hättest du das irgendeinem Boulevard-Magazin berichten können (Frontal 21 bietet sich da an) und da wäre bestimmt eine große Sache draus geworden. Mit dir als Betroffenen. "Sicherheitsschlamperei bei der Post macht Benutzer aggressiv“

Mir tut ja der Programmiere Leid, der bekommt jetzt aber richtig einen auf den Sack.

Hans · Beitrag von **Hans** » 08.07.2005, 09:48

Mic hat geschrieben:Mir tut ja der Programmiere Leid, der bekommt jetzt aber richtig einen auf den Sack.

Wer sowas veröffentlicht tut mir eigentlich nicht leid. In solchen Bereichen darf sowas nicht passieren.

Mic · Beitrag von **Mic** » 08.07.2005, 11:18

Hans hat geschrieben:Wer sowas veröffentlicht tut mir eigentlich nicht leid. In solchen Bereichen darf sowas nicht passieren.

Wobei ich aber auch vermute, dass der arme Stift oder Praktikant von nebenan das programmieren durfte. Der war damit überfordert, wollte aber sich keine Blöße geben. Also schusterte er das schnell zurecht und lebt seitdem in Angst, dass seine Inkompetenz entdeckt wird. Die Folge: Depressionen, Alkohol, von Freunden und Familie allein gelassen. Ein tragisches Schicksal, bei dem man ruhig etwas Mitleid zeigen darf. Sei nicht so hart, Hans.

basti007 · Beitrag von **basti007** » 08.07.2005, 16:54

DasJan hat geschrieben:
basti007 hat geschrieben:Packete
Mach das noch ein mal und du bist ein toter Mann!

Was, Packete?

basti007 hat geschrieben:seperat
Und das auch!

Ich bin doch ein Seperatist...

basti007 · Beitrag von **basti007** » 08.07.2005, 17:03

Ganz sicher bin ich mir zwar noch nicht - aber hier mal der Platz im Script, wo die PIN steht:

Bild

(die Pin wurde von mir manuell in 1234 geändert)

Tippe ich die PIN als alte PIN ein erscheint tatsächlich:

Bild

Ansonsten klappt das Script nicht. Andererseits bin ich mir auch noch nicht 100%ig sicher, weil meine PIN bislang noch nicht geändert worden ist. Mittlerweile sind 24 Stunden Einrichtungszeit rum und es gilt immer noch die alte...

[ZENSIERT] · Beitrag von **[ZENSIERT]** » 08.07.2005, 18:01

Das nenn ich Sicherheit

Würd mal gern den Webmaster treffen, der das da fabriziert hat

(Gell, Passwortkodierung und zehnfach passwortgeschützte Datenbanken bringen doch nix, da kommt doch heute jedes Kind rein

)

DHL Packstation - Programmierkünste

DHL Packstation - Programmierkünste

Re: DHL Packstation - Programmierkünste

Re: DHL Packstation - Programmierkünste

Re: DHL Packstation - Programmierkünste

Re: DHL Packstation - Programmierkünste