06. Februar 2001

Chaos Computer Club:

Grobe Schwachstelle in "sicherem Dokumentenaustauschsystem" bei TNT SecurEdoc

- Unternehmen ignoriert Hinweis auf gravierende Schwachstelle

Hunderte von Kreditkartendaten und anderer vertraulicher Informationen werden durch einen vermeintlich sicheren Dienst der Logistikfirma TNT derzeit völlig unzureichend geschützt der Netzöffentlichkeit angeboten. Dem Chaos Computer Club e.V. (CCC) ging ein Hinweis zu, der eine Sicherheitslücke im Webmail- und Dokumentenaustauschdienst von TNT (http://www.tnt-securedoc.com/) offenbarte, dessen Ausnutzung auf einfachsten Veränderungen von Internetadressen beruht.

Dabei können alle Nachrichten des TNT-Dienstes, die an externe Empfänger des Systems übermittelt wurden, von unberechtigten Benutzern geöffnet werden. CCC Sprecher Jens Ohlig bestätigte nach entsprechender Prüfung die Aussage der Hacker: "Das kann jeder mit jedem Browser - lediglich elementare Kenntnisse in den Grundrechenarten sind dafür notwendig".

TNT-SecurEdoc ist ein bezahlter Dienst des international bekannten Logistik-Unternehmens TNT, das mit den Worten "keep your confidential information confidential" wirbt, und dabei Gebühren von seinen Benutzern verlangt, die auch über Kreditkarten eingezogen werden. Die Kreditkarteninformationen werden über das eigene System bestätigt und liegen somit ebenso offen, wie vertrauliche Dokumente der Benutzer, die sich auf diesen Dienst verlassen haben.

TNT-SecurEdoc versendet in Emails an externe Benutzer eine automatisch generierte Webadresse, unter der sie die für sie vorliegenden Dokumente abrufen können. Eine solche unverschlüsselt übertragene URL enthält eine package-ID, die nur durch Durchzählen von Empfängern und versandten Dokumenten berechnet wird. Aufgrund von kleinen Änderungen an der package-ID besteht die Möglichkeit, sämtliche auf dem System vorliegende Nachrichten zu lesen, bzw. diese durch ein einfaches Skript automatisiert zu übertragen.

Nachdem die Sicherheitslücke beim CCC nachvollzogen werden konnte, wurde das betroffene Unternehmen bereits Mitte letzter Woche (31.01.2001) vom CCC auf das Problem aufmerksam gemacht. Da sowohl der versprochene Rückruf ausblieb, als auch das Sicherheitsproblem nicht behoben wurde, ist es offenbar notwendig auf dieser Art und Weise potentielle Kunden vor dem Problem zu warnen.

Die Aussage des Hersteller der Software, der Firma CERTIA, "bringing trust and control to a digital world" konnte vom Chaos Computer Club jedenfalls nicht nachempfunden werden.

Beispielhafte Screenshots - die wir zur Vermeidung von Missbrauch der entsprechend von TNT veröffentlichten Informationen anonymisiert haben - sind verfügbar: Beispiel Kundendatensatz / Dokumentenauswahlseite