VRT-Recherche: Großes Sicherheits- und Privacy-Problem bei der belgischen Post
VRT NWS konnte ein umfassendes Sicherheits- und Privacy-Problem bei der belgischen Post, Bpost, offenlegen. Auf der Webseite von Bpost war es nicht nur möglich, seine eigene Sendung zu finden, sondern auch die Pakete von anderen Leuten. Damit war es sogar möglich, Pakete von Postpunkten oder aus Postautomaten abzuholen, die für völlig andere Personen bestimmt waren.
Einer Kollegin aus der VRT NWS-Redaktion war nach einem Tipp eines IT-Fachmannes aufgefallen, dass man unter Umständen auf der Webseite von Bpost bei der Suche nach der eigenen Sendung auch die Angaben anderer Postkunden finden konnte. Dabei war es möglich, Pakete von anderen Leuten an Postpunkten oder Postautomaten abzuholen.
Fast ohne Probleme
Wie war das möglich? Man geht auf die Webseite der Post und gibt die Nummer des für sich selbst bestimmten Postpakets ein. Damit kann man seine Sendung verfolgen, um zu sehen, wann sie wo ankommt. Doch dabei war es auch möglich, eine Liste mit Sendungen von anderen Postkunden zu konsultieren, deren Sendung zu beobachten und diese auch abzuholen, denn sowohl die Adressangaben, als auch die Codenummer des jeweiligen Paketes tauchten auf…
Ehrlicher Rundfunk
VRT NWS suchte sich eine solche Sendung aus und kontaktierte die Person, an die diese gehen sollte. Gemeinsam gingen die VRT NWS-Journalistin und die Kundin zum angegebenen Postpunkt. Dort angekommen, wurde der Code angegeben und das Paket wurde ausgehändigt - ohne Nachfrage nach dem Personalausweis. Hier war Diebstahl leicht gemacht, doch die VRT gab der rechtmäßigen Besitzerin ihr Paket natürlich sofort weiter.
Bpost reagiert
VRT NWS unterrichtete unmittelbar nach dem Vorfall die belgische Post, die dieses Problem auch umgehend beseitigen konnte. Nach Angaben von Bpost lag dem ein Fehler in der Suchfunktion der Webseite zugrunde, mit dem einige Zeitgenossen tatsächlich Missbrauch und Diebstahl begehen konnten. Offenbar betraf diese Liste nur Lieferungen von Geschäftsleuten und Einzelhändlern an Kunden.
Problem abgestellt
Bei Bpost hieß es, dass man tatsächlich über die Suchfunktion „generierte Referenzen“ verschiedene Codes finden konnte. Mittlerweile aber ist es wieder nur möglich, seine eigene Sendung mit seiner persönlichen Codenummer zu verfolgen, so Bpost am Sonntag. Alle eventuell falsch gesendeten Lieferungen würden den jeweiligen Adressaten umgehend zugestellt oder ersetzt.