BROADCASTS.com

Dieser Vortrag beschreibt, wie wir fehlerhafte Prozesse in der Paketverfolgung der meisten deutschen Paketzustelldienste entdeckt haben, wie diese auf unsere Erkenntnisse reagiert haben und warum dies sehr wahrscheinlich auch deine Privatsph\xe4re betrifft.\n\nIn Zeiten des Online-Shoppings sind die Menschen besorgt, ob Online-Shops ihre Daten vern\xfcnftig behandeln und sichern. Online-Shops k\xf6nnen \xfcber g\xe4ngige Web-Schwachstellen wie SQL-Injections, XSS usw. angegriffen werden. Dadurch k\xf6nnten Angreifer pers\xf6nliche Informationen wie Name, Adresse und Bankdaten kopieren.\n\nWir haben jedoch eine noch einfachere - und bisher unbeachtete - M\xf6glichkeit gefunden, an die pers\xf6nlichen Daten der Kunden von Online-Shops zu gelangen - ohne irgendwelche Schwachstellen auszunutzen. Da fast alle online bestellten physischen Waren von Paketdiensten ausgeliefert werden, haben wir das Tracking der wichtigsten Akteure im deutschen Paketmarkt analysiert.\n\nDurch die Verwendung \xf6ffentlich zug\xe4nglicher Daten und trivialer Statistik konnten wir Empf\xe4ngerinformationen (Name, Adresse) schnell und in gro\xdfer Zahl ermitteln. Dabei war es bei einigen Diensten sogar m\xf6glich, die Zustellung von Paketen zu beeinflussen. Gezielte Angriffe k\xf6nnten dazu f\xfchren, dass Adressen und Einkaufsverhalten von Politikern und anderen Personen des \xf6ffentlichen Lebens aufgedeckt werden. Auch die Identifizierung von Kunden bestimmter Gesch\xe4fte ist denkbar. Die Art und Weise, wie die Sendungsnummern generiert werden, erm\xf6glicht es uns n\xe4mlich, gezielt bestimmte Online-Shops anzugreifen.\n\nW\xe4hrend unserer Recherche haben wir mehrere Paketdienste kontaktiert (Responsible Disclosure), was zu einigen Verbesserungen f\xfchrte. Einige Disclosure-Prozesse hatten schnelle und effektive Ma\xdfnahmen zur Folge und k\xf6nnen als gute Beispiele dienen, w\xe4hrend andere noch Raum f\xfcr Optimierungen bieten. Wir werden auch dar\xfcber reden, wie Disclosure-Prozesse besser ablaufen k\xf6nnen, und werden ein paar unterhaltsame Ereignisse darstellen.\n\nWir kommen zu dem Schluss, dass Paketdienste eine - vielleicht - untersch\xe4tzte Gefahr f\xfcr die Privatsph\xe4re darstellen. Anstatt zahllose Online-Shops anzugreifen, ist der Missbrauch fehlerhafter Prozesse bei den wenigen marktbeherrschenden Paketzustelldiensten, die von fast allen Shops genutzt werden, ein ziemlich effizienter Weg, um an Adressen und in einigen F\xe4llen an die M\xf6glichkeit zu gelangen, in den Zustellprozess einzugreifen.\n\nIn unserem Vortrag werden wir den statistischen Ansatz zum Brechen der Authentifizierung f\xfcr die Paketverfolgung, die zugrundeliegenden Probleme, (negative und positive) Highlights aus den Disclosure-Prozessen und nat\xfcrlich die Auswirkungen auf die Privatsph\xe4re aufzeigen, die dies gehabt haben k\xf6nnte und noch haben kann. Bei der diesj\xe4hrigen GPN sprechen wir zum ersten Mal \xfcber zwei Paketdienstleister, die bei uns bisher noch nicht zur Sprache kamen, GLS und UPS. Zum Zeitpunkt der Ver\xf6ffentlichung war die Schwachstelle bei UPS noch nicht behoben.\nabout this event: https://cfp.gulas.ch/gpn22/talk/ABDM9K/