Spass am Gerät - Der TNT-Hack

Hacken ist manchmal ganz einfach: Es reicht eine dünne Leitung und ein handelsüblicher Browser, man braucht weder crack noch portscan. Bei TNT SecureEdoc konnten mit solchen Mitteln private Daten anderer betrachtet werden, sofern man denn im Geheimwissen der mathematischen Grundrechenarten bewandert ist.

SecurEdoc bei TNT: Ein kleiner, feiner Hack und ein mittlerer Datenschutzskandal

Was ist TNT SecureEdoc?

TNT SecureEdoc ist ein bezahlter Dokumentenaustauschdienst des international bekannten Paket- und Logistikservice TNT, programmiert wurde diese Anwendung vom amerikanischen Softwareunternehmen Certia. Mit diesem Angebot will sich TNT offenbar auf dem Markt als Logistikdienstleister platzieren, der auch im Online-Bereich den Austausch von Dokumenten sicher abwickelt. Dabei setzt man auf eine Datenbank, in der die ausgetauschten Daten abgelegt werden. Der Schlüssel zu den Nachrichten ist die Package-ID, die -- wie später erklärt -- einfach auszurechenen ist. Dabei ist der Dienst nicht nur für den Austausch zwischen zwei angemeldeten Nutzern gedacht, sondern auch mit Usern, die keinen Account haben, aber trotzdem eine von einem eingetragenen und zahlenden TNT-Kunden Dokumente erhalten sollen. Dazu wird der vom Nutzer angegebenen Email-Addresse eine Nachricht mit der Package-ID gesendet. Doch das an sich schon sträfliche Loch der Abhörbarkeit von SMTP- und POP-Verbindungen auf dem Weg durch das Netz wird noch übertroffen von der Vorhersagbarkeit der übermittelten Package-ID.

Einfaches Nummernsystem

Zum Betrachten der Nachricht muß der Empfänger die URL, die u.a. die Package-ID enthält, einfach in seinem Browser öffnen. Nach dem einfachen Klick erschien sofort die Seite mit der auzutauschenden Nachricht. Restriktion an der Stelle ist nur, ob diese Nachricht nicht nur auf den Status "nur ein mal lesbar" gesetzt wurde -- ein ohnehin zweifelhaftes Feature bei manch "hängender" Leitung. Die letzten Ziffern der Package-ID sind zweigeteilt: Die erste Kolonne bezeichnet den Empfänger und die zweite die Dokumenten-Nummer. D.h. durch einfaches Subtrahieren von Werten von diesen Nummern konnte man die Nachrichten anderer Nutzer sehen.

Dabei war natürlich nicht jede beliebige Kombination gültig. Wurden mehrere Dokumente gleichzeitig verschickt, wurde die zweite Hälfte der Package-ID um die Anzahl der verschickten Dokumente verringert, wurde die Nachricht an mehrere Empfänger verschickt, wurde wurde die erste Hälfte der Package-ID um diese Anzahl verringert. Die Anzahl der Dokumente und Empfänger konnte man in der angezeigten Nachricht erkennen und wußte -- mit wenig Kopfrechnen -- sofort, welches die Package-ID des vorhergehenden Vorganges war. Weiter wäre es möglich gewesen, mit ein wenig Parsen und Cookie-Verwaltung der HTML-Dateien ein Skript ans laufen zu bekommen, daß die Zahl der Dokumente und Empfänger jeweils ausliest und automatisch Nachricht für Nachricht einliest und verarbeitet.

Um durch dieses Vorgehen sukzessive die anderen Nachrichten zu öffnen brauchte man also nur eine Ankernachricht mit Ausgangszahlen; glücklicherweise kann man sich zum Testen eintragen und somit Nachrichten an einen Account schicken, auf den man selber Zugriff hat. Da dies ein bezahlter Dienst ist, kommt einem auch die Bezahlung per (Online-)Rechnung entgegen, es ist aber in dem Dienst auch möglich, die Beträge per Kreditkarte zu bezahlen. Und spätestens da wird es richtig unangenehm für die Nutzer: Da der Dienst ja speziell für den Austausch sensibler Daten geschaffen wurde, liegen auch die Bestätigungen der persönlichen Daten inklusive der Kreditkartendaten als Nachrichten im System vor. Bingo!

Sensible Daten

Die Kreditkartendaten waren noch das Interessanteste, was in dem System gefunden werden konnte. Daneben lagen dort Bilanzen, Unterlagen zur Steuer, Kundentabellen etc. Da dieser kostenpflichtige Dienst besonders damit warb, vertrauliche Daten auf sicherem Weg auszutauschen, waren die dort vorzufindenden Inhalte zum großen Teil solcher Natur. Zum Vergleich: Selbst bei unverschlüsselter Email, die leicht mitgelesen werden kann, sind die Daten, einmal beim Empfänger angekommen, nicht mehr potentiellen Angreifern ausgesetzt.

Der CCC Cologne schlägt Alarm

Nachdem in den Kölner Räumlichkeiten des CCC diese Schwachstellen ausgelotet wurden, haben wir zunächst TNT als Betreiber des Dienstes informiert. Schließlich wurden hier private Daten von Benutzern des Systems der Öffentlichkeit zur Verfügung gestellt. Musste ja nicht sein. Schwieriger war es, einen Ansprechpartner zu finden, der einzige erfolgsversprechende Anruf erfolgte dann schliesslich beim Pressesprecher der deutschen Niederlassung. Man tat eifrig ("Ja, was für ein Computerclub war das noch mal?"), aber nach einer Woche gab es dann immer noch keine Rückmeldung. Na gut, dann war man bei TNT wohl daran interessiert, das ganze über dpa zu erfahren. Und so geschah es dann auch. Nach der Veröffentlichung der Pressemitteilung wurde der Dienst nach weiteren 24 Stunden ausgesetzt. Nach einer Woche wird jetzt eine weitere Abfrage eines zusätzlichen Authentifizierungs-Tokens vorgenommen, bevor die Nachrichten abrufbar sind. Die Problematik des Abhorchens der Maildaten löst das aber auch noch nicht.

Reaktionen

Bei TNT ist einem die ganze Sache wohl eher peinlich. Hinter vorgehaltener Hand gab ein Mitarbeiter von TNT Deutschland zu, dass der Service ja auch eher mit der heissen Nadel gestrickt worden war: "Ich meine, wer braucht so einen Scheiss?" Certia, die weiterhin auf ihren Webseiten mit dem zweifelshaften Slogan"Bringing trust and control to a digital world"wirbt, hatten in der Zwischenzeit ebenfalls Kontakt mit dem CCC aufgenommen. Ja, man sei an einem Gespräch interessiert. Der weitere Mailverkehr gestaltete sich allerdings als sehr schleppend, so dass bis heute kein Termin gefunden wurde. Interessant mag die Anschrift von Certia sein: Die "Sicherheitsfirma" ist in Virgina untergebracht, wo auch die Drei-Buchstaben-Organisationen der USA sich heimisch fühlen. Gerade in Herndon, wo Certia seinen Sitz hat, gibt es wohl auch mehrere Projekte von einer Organisation mit einem Namen, der dem von Certia verdächtigt ähnelt: Einfach die Buchstaben E, R und T wegnehmen. Man kann in diesem Zusammenhang paranoid werden, muss es aber nicht. Es könnte alles nur ein Beispiel für besondere Dummheit in der Softwareentwicklung gewesen sein, über das der CCC hier gestolpert ist. Vielleicht lebt es sich mit dieser Theorie angenehmer, wohliger, zufriedener. Vertrauen und Kontrolle in einer digitalen Welt.

by Jens Ohlig, Yannick, Yinnick 2001-05-05
Der Clubstatus wird geladen...
Der Club ist offen:
It's a secret to everybody.
Der Club ist geschlossen:
[...] even the word "hopeless" has "hope" in it. Plus, if you rearrange the letters it spells "peeslosh".
Der Clubstatus konnte nicht geladen werden.
content
SecurEdoc bei TNT: Ein kleiner, feiner Hack und ein mittlerer Datenschutzskandal
Was ist TNT SecureEdoc?
Einfaches Nummernsystem
Sensible Daten
Der CCC Cologne schlägt Alarm
Reaktionen
Kontakt
Direkter Draht: mail@koeln.ccc.de
IRC: #cccc auf hackint (Web)
(Bei Anfragen bitte ERST das F.A.Q. lesen.)
Newsletter
Oder immer up-to-date mit unserem Newsletter.
Zur Newsletter-Anmeldung