[gelöst] DHL Kundenkarte (ehemals Gold Card) mit Code statt Magnetstreifen

134
eingestellt am 15. Nov 2017Bearbeitet von:"Dealpferd"
Update: Dank der guten Community Mithilfe, kann die neue DHL Nummer ganz leicht aus der Postnummer berechnet werden. Informationen und Diskussionen dazu weiter unten. Hier auf Seite 2 das Verfahren und ein einfacher Generator!. Auf Seite 1 die Entwicklung sowie Diskussionen zur Sicherheitsbetrachtung dieser Erkenntnisse.

Hallo Leute,

kann mir bitte jemand den Code seiner neuen (seit September 2017) DHL Kundenkarte mit der App QR Bot (iOS / Android ) scannen und mir mitteilen, in welchem Format der Code erzeugt wird und wie dieser aufgebaut wird? z.B. sollte da ja die Kundennummer vorkommen.

Ich habe noch die Gold Card mit Kundennummer und möchte versuchen, mir meinen eigenen Code ohne neue Karte zu erzeugen. Hat einige Vorteile, denn so könnte man den Code vom Handy vorzeigen und sich damit einloggen statt mit der Plastikkarte. Oder der Partner kann die Pakete aus der Packstation holen.

Gruß
Dealpferd
Zusätzliche Info
Beste Kommentare
Verfasser
Pepe_W13. Feb

Hi,ich fasse hier kurz zusammen, was hier über den Barcode auf der neuen …Hi,ich fasse hier kurz zusammen, was hier über den Barcode auf der neuen DHL-Karte ab 10/2017 geschrieben wurde,



Ich weiß nicht, woher du deine Informationen hast, aber zu den Erkenntnissen aus dem Thread hier passen sie nicht und führen in die Irre. Ich fasse in aller Kompaktheit zusammen was mehrfach bestätigt wurde:

“3”+”[so viele ‘0’, dass die Zahl insgesamt 16 Stellen hat]”+”[Postnummer*631]”+”[Prüfziffer nach Luhn über ‘Postnummer*631’]” (= 16 Stellen insgesamt)

Update: Hier ein Zahlen- und Barcode-Generator aus einem Guss!
https//polarvogel.github.io/Num…or/

Deine Beschreibung zur Prüfziffer wie bei UPC trifft nicht zu und das Verfahren auf geodexintl.com, das den Barcode inkl. Prüfziffer erzeugt schon gar nicht, denn diese Seite generiert die Prüfziffer über die gesamte, 15-stellige Zahl, was falsch ist, denn die 3 wird nicht berücksichtigt.

Zu 100% kann ich da auch nicht sicher sein, aber das ist zumindest aus den paar Beiträgen hier erfolgreich getestet und geschlossen worden.

Hier noch ein funktionierender Generator (ITF, 200%): scandit.com/de/…or/
Bearbeitet von: "Dealpferd" 20. Mär
Der Generator polarvogel.github.io/Num…or/ ist echt genial!

Ich habe den Barcode auf meine Krankenversicherungskarte geklebt und muss eine Karte weniger in der Geldbörse mitführen. ;-)

Hab einen kleinen Blogbeitrag dazu geschrieben:

tec-ph.com/bar…en/
134 Kommentare
meld deine Goldcard einfach als Defekt/verloren und lass dir ne neue zuschicken, irgendwelche Kartendaten
Melde das deine alte defekt ist, dann bekommst ne neue zugesendet. Die alte behält ihre Funktion. So haben wir 2. habe den Code gescannt, die Nummer die mir angezeigt wird ist aber nicht meine Kundennummer. Es ist auch kein klassischer QR Code, habe 6 Apps runterladen müssen und eine ging. Habe den QR Code jetzt als Screenshot auf dem Handy.
Verfasser
Danke für die Hinweise, dann mache ich es so und erforsche dann aus Interesse den Code. Meine alte Karte ist gebrochen.

Den Schritt von DHL verstehe ich aber auch nicht ganz: Haben die sich nicht große Mühe gegeben, dass man nur mit der Gold Card an die Packstation kommt (und nicht mehr wie früher per Handeingabe) um den ganzen illegalen Schwarzmarkt Geschäften und Betrügereien entgegenzuwirken? Mit dem Code können ja nun doch wieder beliebig viele Anwender eine Post Nummer teilen.

Edit: Wahrscheinlich konnte man auch die Gold Card mit den entsprechenden Mitteln günstig kopieren, aber die Hürde war größer.
Bearbeitet von: "Dealpferd" 5. Feb
Naja für den Magnetstreifen war ein entsprechendes Lesegerät nötig. so 400€.
Aber wenn man "gewerblich" Pakete abzockt, sind das natürlich auch nur Peanuts.

Die App, die @Dealpferd verlinkt hat, sieht ziemlich gut aus.
Was ist denn der Unterschied zu der anderen kostenlosen QR Code App des gleichen Herstellers?
Verfasser
HouseMD16. Nov 2017

Naja für den Magnetstreifen war ein entsprechendes Lesegerät nötig. so 40 …Naja für den Magnetstreifen war ein entsprechendes Lesegerät nötig. so 400€.Aber wenn man "gewerblich" Pakete abzockt, sind das natürlich auch nur Peanuts. Die App, die @Dealpferd verlinkt hat, sieht ziemlich gut aus.Was ist denn der Unterschied zu der anderen kostenlosen QR Code App des gleichen Herstellers?



Die Frage habe ich ihm auch gestellt und die Antwort lautet: Die eine App ist eine reine Lese-App und die andere kann auch QR Codes erzeugen, was ich sehr praktisch finde.

Gehört zu meinen Top Apps auf dem Handy und kann gar nicht verstehen, wie man noch diesen hässlichen Werbe-Müll anderer Anbieter auf dem Handy hat
Verfasser
HouseMD16. Nov 2017

Naja für den Magnetstreifen war ein entsprechendes Lesegerät nötig. so 40 …Naja für den Magnetstreifen war ein entsprechendes Lesegerät nötig. so 400€.Aber wenn man "gewerblich" Pakete abzockt, sind das natürlich auch nur Peanuts. Die App, die @Dealpferd verlinkt hat, sieht ziemlich gut aus.Was ist denn der Unterschied zu der anderen kostenlosen QR Code App des gleichen Herstellers?




Habe ich vor ein paar Wochen / Monaten auch hier in meiner Liste mit anderen Qualitäts Apps geteilt: mydealz.de/com…159
Dealpferd16. Nov 2017

Gehört zu meinen Top Apps auf dem Handy und kann gar nicht verstehen, wie …Gehört zu meinen Top Apps auf dem Handy und kann gar nicht verstehen, wie man noch diesen hässlichen Werbe-Müll anderer Anbieter auf dem Handy hat


Oh ja, hab gerade direkt die Pro Version gekauft, nachdem ich die App ausprobiert habe.

Aber die Version ohne den Roboter, kann auch QR Codes erzeugen!?
Verfasser
HouseMD16. Nov 2017

Oh ja, hab gerade direkt die Pro Version gekauft, nachdem ich die App …Oh ja, hab gerade direkt die Pro Version gekauft, nachdem ich die App ausprobiert habe.Aber die Version ohne den Roboter, kann auch QR Codes erzeugen!?



Stimmt. Deshalb habe ich mal die original Antwort rausgesucht (Stand: 6.12.2016):
"Hallo Dealpferd, ja es werden beide weiterentwickelt (bin an nem größeren Update dran!) - die mit dem grünen Icon kann zwar weniger ist aber dafür kleiner."

Edit: Ziemlich Off-Topic gerade. Kann aber beim besten Willen derzeit keinen Unterschied zwischen den Apps feststellen. Außer dass die eine das Aushängeschild ist (QRBot) und die andere halb so groß (16 statt 35mb).
Bearbeitet von: "Dealpferd" 16. Nov 2017
Cool wusste ich nicht, dass nervigste an einer Packstation ist echt immer die Karte einzulesen und nach dem klick wieder rauszuziehen..
Der Kartenleser ist sicher auch das mechanische Teil das am meisten kaputt geht oder von bekloppten zerstört wird. Sicher ist es immer noch das die Tan ja immer eine andere ist. Die Karte war ja immer der Teil der gleich blieb zur Levitimierung. Ich werde die Karte auch wechseln. Finde allerdings die Tan Eingabe am Bildschirm nervig
Ich habe auch eine Kart
Dealpferd16. Nov 2017

Danke für die Hinweise, dann mache ich es so und erforsche dann aus …Danke für die Hinweise, dann mache ich es so und erforsche dann aus Interesse den Code.Den Schritt von DHL verstehe ich aber auch nicht ganz: Haben die sich nicht große Mühe gegeben, dass man nur mit der Gold Card an die Packstation kommt (und nicht mehr wie früher per Handeingabe) um den ganzen illegalen Schwarzmarkt Geschäften und Betrügereien entgegenzuwirken? Mit dem Code können ja nun doch wieder beliebig viele Anwender eine Post Nummer teilen.Edit: Wahrscheinlich konnte man auch die Gold Card mit den entsprechenden Mitteln günstig kopieren, aber die Hürde war größer.


Hast Du den Code auf der Goldcard mittlerweile erforscht und kannst mir sagen, ob und wie man ihn aus der Postnummer selbst generieren kann? Ich musste sie heute nämlich auch nachbestellen, würde aber gerne jetzt schon an meine meine Sendung abholen.
Verfasser
satisfyer25. Nov 2017

Ich habe auch eine Kart Hast Du den Code auf der Goldcard mittlerweile …Ich habe auch eine Kart Hast Du den Code auf der Goldcard mittlerweile erforscht und kannst mir sagen, ob und wie man ihn aus der Postnummer selbst generieren kann? Ich musste sie heute nämlich auch nachbestellen, würde aber gerne jetzt schon an meine meine Sendung abholen.

Habe die Karte erst seit gestern aber auch nichts offensichtliches herausgefunden.
Der Code ist 16 Zeichen lang und laut App im „ITF“ Format.
Er beginnt bei mir mit „3000“ gefolgt von 12 Zahlen, mit denen ich noch nichts anfangen kann.

Hat übrigens eine gute Woche gedauert mit der Karte :-/ Solltest du noch etwas in der Station haben, empfiehlt es sich die Einlagerung verlängern zu lassen.
satisfyer25. Nov 2017

Ich habe auch eine Kart Hast Du den Code auf der Goldcard mittlerweile …Ich habe auch eine Kart Hast Du den Code auf der Goldcard mittlerweile erforscht und kannst mir sagen, ob und wie man ihn aus der Postnummer selbst generieren kann? Ich musste sie heute nämlich auch nachbestellen, würde aber gerne jetzt schon an meine meine Sendung abholen.



die ALTE Karte sollte weiterhin funktionieren. Den Code (wenn man denn die Karte hat) kann man übrigens mit jeder "Karten" App wie Stocard scannen und dann nutzen. Zusammensetzung des Strichcodes ist mir allerdings auch schleierhaft. Denke aber es ist zufällg, damit es eben nicht so leicht zu reproduzieren wäre? (für Außenstehende)
Verfasser
cityhawk4. Dez 2017

die ALTE Karte sollte weiterhin funktionieren. Den Code (wenn man denn die …die ALTE Karte sollte weiterhin funktionieren. Den Code (wenn man denn die Karte hat) kann man übrigens mit jeder "Karten" App wie Stocard scannen und dann nutzen. Zusammensetzung des Strichcodes ist mir allerdings auch schleierhaft. Denke aber es ist zufällg, damit es eben nicht so leicht zu reproduzieren wäre? (für Außenstehende)



Ich denke auch, dass es eine neu vergebene, interne Nummer ist. Eventuell, damit einzelne Karten gesperrt werden können. Ich benutze die Packstation nur noch mit dem Handy (Stocard oder QRBot) und die Karten kommen zur Sicherheit in die beiden Autos.

In der Filiale kann man auch einfach den Ausweis zeigen, wenn eine Sendung umgeleitet wurde.
Dealpferd4. Dez 2017

Ich denke auch, dass es eine neu vergebene, interne Nummer ist. Eventuell, …Ich denke auch, dass es eine neu vergebene, interne Nummer ist. Eventuell, damit einzelne Karten gesperrt werden können. Ich benutze die Packstation nur noch mit dem Handy (Stocard oder QRBot) und die Karten kommen zur Sicherheit in die beiden Autos.In der Filiale kann man auch einfach den Ausweis zeigen, wenn eine Sendung umgeleitet wurde.



nimm die Karte lieber aus en Autos. Man sieht ja, das z.B. die GoldKarte nicht gesperrt wird (für mich kein Problem, bleibt eh ab nun daheim). Einzig nervige am Barcode ist, dass der Scanner den Code teils erst sehr spät erfasst. Hat man ja auch manchmal mit Paketen, da ist der Bereich des Barcodes aber ja größer (höhere Barcodestriche)
Bearbeitet von: "cityhawk" 4. Dez 2017
Dealpferd25. Nov 2017

Habe die Karte erst seit gestern aber auch nichts offensichtliches …Habe die Karte erst seit gestern aber auch nichts offensichtliches herausgefunden.Der Code ist 16 Zeichen lang und laut App im „ITF“ Format.Er beginnt bei mir mit „3000“ gefolgt von 12 Zahlen, mit denen ich noch nichts anfangen kann.Hat übrigens eine gute Woche gedauert mit der Karte :-/ Solltest du noch etwas in der Station haben, empfiehlt es sich die Einlagerung verlängern zu lassen.


Habe mir jetzt auch eine neue Karte liefern lassen und ich denke, ich habe eine Logik in dem generieren Barcode entdeckt.

Und zwar wenn man Postnummer*6310+3000000000000001 (oder einfach 3000 vor die Zahl und am Ende eine 1 addieren) berechnet, müsste die entsprechende Barcodenummer entstehen. Passt das auch bei dir?

Der Barcode ist ja offenbar im Format "interleaved 2 of 5".
L3Chiffre3. Feb

Habe mir jetzt auch eine neue Karte liefern lassen und ich denke, ich habe …Habe mir jetzt auch eine neue Karte liefern lassen und ich denke, ich habe eine Logik in dem generieren Barcode entdeckt.Und zwar wenn man Postnummer*6310+3000000000000001 (oder einfach 3000 vor die Zahl und am Ende eine 1 addieren) berechnet, müsste die entsprechende Barcodenummer entstehen. Passt das auch bei dir?Der Barcode ist ja offenbar im Format "interleaved 2 of 5".


Passt fast, letzte Ziffer ist auf meiner Karte ne 2, mit der Formel steht hinten eine 1. oder das ist ne Prüfziffer?
71M3. Feb

Passt fast, letzte Ziffer ist auf meiner Karte ne 2, mit der Formel steht …Passt fast, letzte Ziffer ist auf meiner Karte ne 2, mit der Formel steht hinten eine 1. oder das ist ne Prüfziffer?


Okay, das kann dann natürlich eine Prüfziffer sein. Oder ist bei deiner Postnummer die letzte Zahl ebenfalls eine 2? Bei mir sind bei beiden Zahlen (Postnummer und Barcodenummer) eine 1, vielleicht hat das ja System.
L3Chiffre3. Feb

Habe mir jetzt auch eine neue Karte liefern lassen und ich denke, ich habe …Habe mir jetzt auch eine neue Karte liefern lassen und ich denke, ich habe eine Logik in dem generieren Barcode entdeckt.Und zwar wenn man Postnummer*6310+3000000000000001 (oder einfach 3000 vor die Zahl und am Ende eine 1 addieren) berechnet, müsste die entsprechende Barcodenummer entstehen. Passt das auch bei dir?Der Barcode ist ja offenbar im Format "interleaved 2 of 5".


Passt perfekt bei mir. Packstation Nr endet mit 8, Strichcode mit 0
L3Chiffre3. Feb

Okay, das kann dann natürlich eine Prüfziffer sein. Oder ist bei deiner P …Okay, das kann dann natürlich eine Prüfziffer sein. Oder ist bei deiner Postnummer die letzte Zahl ebenfalls eine 2? Bei mir sind bei beiden Zahlen (Postnummer und Barcodenummer) eine 1, vielleicht hat das ja System.


Postnummer endet auf 1, Barcode auf 2.
Bearbeitet von: "71M" 3. Feb
x3Ro3. Feb

Passt perfekt bei mir. Packstation Nr endet mit 8, Strichcode mit 0



71M3. Feb

Postnummer endet auf 1, Barcode auf 2.


Jetzt habe ich glaube ich die Antwort:
Die Zahl setzt sich aus drei Bestandteilen zusammen: 3000 + Postnummer*631 + Prüfziffer

Wie sich die Prüfziffer berechnet, findet man hier:
pruefziffernberechnung.de/0-9…tml

So weit ich weiß, muss man dafür nur die Zahl nehmen, die sich aus Postnummer*631 berechnet.

Man geht damit so vor, dass man die letzte Zahl (also von rechts nach links) mit 3 multipliziert, die vorletzte mit 1, dann weiter mit 3, 1, 3,....

Dann die Zahlen addieren. Die Prüfziffer ist der volle Rest zur nächsthöheren durch 10 teilbaren Zahl. Wenn man als Summe also 79 erhält, ist die Prüfziffer (80-79) 1, wenn die Summe 83 ist, ist die Prüfziffer (90-83) 7.
Verfasser
L3Chiffre3. Feb

Jetzt habe ich glaube ich die Antwort:Die Zahl setzt sich aus drei …Jetzt habe ich glaube ich die Antwort:Die Zahl setzt sich aus drei Bestandteilen zusammen: 3000 + Postnummer*631 + PrüfzifferWie sich die Prüfziffer berechnet, findet man hier:http://www.pruefziffernberechnung.de/0-9/2aus5interleaved.shtmlSo weit ich weiß, muss man dafür nur die Zahl nehmen, die sich aus Postnummer*631 berechnet.Man geht damit so vor, dass man die letzte Zahl (also von rechts nach links) mit 3 multipliziert, die vorletzte mit 1, dann weiter mit 3, 1, 3,....Dann die Zahlen addieren. Die Prüfziffer ist der volle Rest zur nächsthöheren durch 10 teilbaren Zahl. Wenn man als Summe also 79 erhält, ist die Prüfziffer (80-79) 1, wenn die Summe 83 ist, ist die Prüfziffer (90-83) 7.


Sehr spannend hier. Bei mir passt das mit der Postnummer * 631 und der vorangestellten 3000 ebenfalls. Nur auf die Prüfziffer, die definitiv in meinem Code vorhanden und eine 2 ist, komme ich derzeit mit keiner der vorgeschlagenen Berechnungen. Sinn ergibt sie eigentlich auch nur, wenn sie über den ganzen Code gilt. Passt aber nicht, egal ob mit oder ohne die 3000.

Bei mir sind es übrigens 4 Stellen für die 3000 + 11 Stellen "Postnummer * 631" + 1 Stelle Prüfziffer = 16. Postnummer ist 8-stellig. Nicht jede 8-stellige Zahl mit 631 multipliziert hat genau 11 Stellen.

Ich werde mit der nächsten Abholung testen, ob ich die Prüfziffer ändern und trotzdem die Packstation bedienen kann.
Bearbeitet von: "Dealpferd" 4. Feb
Dealpferd4. Feb

Sehr spannend hier. Bei mir passt das mit der Postnummer * 631 und der …Sehr spannend hier. Bei mir passt das mit der Postnummer * 631 und der vorangestellten 3000 ebenfalls. Nur auf die Prüfziffer, die definitiv in meinem Code vorhanden und eine 2 ist, komme ich derzeit mit keiner der vorgeschlagenen Berechnungen. Sinn ergibt sie eigentlich auch nur, wenn sie über den ganzen Code gilt. Passt aber nicht, egal ob mit oder ohne die 3000.Bei mir sind es übrigens 4 Stellen für die 3000 + 11 Stellen "Postnummer * 631" + 1 Stelle Prüfziffer = 16. Postnummer ist 8-stellig. Nicht jede 8-stellige Zahl mit 631 multipliziert hat genau 11 Stellen.Ich werde mit der nächsten Abholung testen, ob ich die Prüfziffer ändern und trotzdem die Packstation bedienen kann.


Hier ist übrigens ein alternativer Rechner, mit dem man die Prüfziffer mit der alternativen Gewichtung 2,1,2,... ganz einfach berechnen kann:
werner.rothschopf.net/mod…htm

Aber auch hier passt es bei mir mit der Prüfnummer nur, wenn die 3 am Anfang weggelassen wird. Sowohl in der Variante 3, 1, 3... und die obere mit 2, 1, 2...

Ich weiß ja nicht, wie DHL die Postnummern nummeriert, aber wenn sie erst mit 16... beginnen, sollte es mit elfstelligen Zahlen keine Probleme geben. Erst darunter sind die Zahlen zehnstellig.
L3Chiffre5. Feb

Hier ist übrigens ein alternativer Rechner, mit dem man die Prüfziffer mit …Hier ist übrigens ein alternativer Rechner, mit dem man die Prüfziffer mit der alternativen Gewichtung 2,1,2,... ganz einfach berechnen kann:http://werner.rothschopf.net/modulo10.htmAber auch hier passt es bei mir mit der Prüfnummer nur, wenn die 3 am Anfang weggelassen wird. Sowohl in der Variante 3, 1, 3... und die obere mit 2, 1, 2...Ich weiß ja nicht, wie DHL die Postnummern nummeriert, aber wenn sie erst mit 16... beginnen, sollte es mit elfstelligen Zahlen keine Probleme geben. Erst darunter sind die Zahlen zehnstellig.



Bei mir passt es wenn ich meine PackstationsNummer (8 Stellig, endet auf 1) mit 631 multipliziere und diese Zahl dann unter deinem Link (also Gewichtung 2,1,2,1 usw.) eingebe.
Vor das Ergebnis packe ich dann die 3000.

Probiere das daheim mal mit der Packstations Nummer meiner Freundin.
Bearbeitet von: "71M" 5. Feb
Verfasser
Scheint zu klappen, ich habe es mal umgesetzt:
--- Update -- Github Seite wieder gelöscht, bis DHL sich meldet. Der Code kann mit den vorhandenen Informationen leicht selbst und sogar mit einem Blatt Papier errechnet werden. Hier alternativ nur eine Javascriptfunktion zur Errechnung der Luhn Prüfziffer, um sich den Code anschauen zu können: gist.github.com/pol…ffd

Damit müsst ihr keine neue Packstation Karte bestellen, sondern könnt den Code selber generieren und ausdrucken bzw. zum Barcode verarbeiten. Bei mir klappt es ganz gut mit der Stocard App, es hindert euch aber nichts daran, einfach Bild zu scannen bzw. einen eigenen Ausdruck ins Auto zu legen.

Die Nummer kann dann im ITF Format zu einem Packstation-lesbaren Barcode gewandelt werden: scandit.com/de/…or/

Danke für eure Mithilfe, hat Spaß gemacht!

Anmerkung: Es handelt sich um Javascipt, d.h. die Verarbeitung erfolgt in eurem Browser und verlässt diesen nicht. Es wird nichts aufgezeichnet oder so. Davon könnt ihr euch im Quellcode der Seite überzeugen. Wer auf Nummer sicher gehen möchte, kann auch die index.html herunterladen und offline / lokal ausführen.

Die Erstellung und Verwendung der Seite / des Codes dient nur zur privaten, legalen Forschungszwecken. Der Missbrauch, insbesondere die Verwendung fremder Nummern, ist natürlich nicht erlaubt,
Bearbeitet von: "Dealpferd" 5. Feb
Verfasser
Leute mit neuer Karte bitte ich, die Berechnungen zu verifizieren!
Verfasser
Und mal was Ernstes zu diesem Thema: Ich finde diese Idee von DHL gar nicht witzig.

Dass aus der Postnummer, die auf den Paketen für jedermann sichtbar ist, eine funktionierende Packstation Karte (nämlich ein billiger schwarz-weiß Ausdruck auf Papier oder ggf. mit dem Edding gemalt...) erstellt werden kann, ist ein Unding!
Was auch immer auf dem Magnetstreifen der alten Karte stand, die Hürde war deutlich größer, eine solche Karte zu erstellen, als sie nun ist.

Es ist ja nicht so, als hätten wir hier auf Mydealz super geheim im Quellcode der Packstation durchwühltund nun einen Exploit veröffentlicht. Eigentlich wurde nur die Multiplikation mit einer dreistelligen Zahl und das das passende Prüfziffernverfahren entdeckt.

Das mag für viele Nutzer praktisch sein, macht es aber für Kriminelle leichter, Packstation Betrug zu betreiben.
Dealpferd5. Feb

Und mal was Ernstes zu diesem Thema: Ich finde diese Idee von DHL gar …Und mal was Ernstes zu diesem Thema: Ich finde diese Idee von DHL gar nicht witzig.Dass aus der Postnummer, die auf den Paketen für jedermann sichtbar ist, eine funktionierende Packstation Karte (nämlich ein billiger schwarz-weiß Ausdruck auf Papier oder ggf. mit dem Edding gemalt...) erstellt werden kann, ist ein Unding!Was auch immer auf dem Magnetstreifen der alten Karte stand, die Hürde war deutlich größer, eine solche Karte zu erstellen, als sie nun ist.Es ist ja nicht so, als hätten wir hier auf Mydealz super geheim im Quellcode der Packstation durchwühltund nun einen Exploit veröffentlicht. Eigentlich wurde nur die Multiplikation mit einer dreistelligen Zahl und das das passende Prüfziffernverfahren entdeckt.Das mag für viele Nutzer praktisch sein, macht es aber für Kriminelle leichter, Packstation Betrug zu betreiben.



-> weswegen ich den Beitrag etwas kritisch sehe. Wollte auch schon etwas schreiben. Letzte Instanz bleibt die Tan welche man erhält, entweder nur per SMS oder zusätzlich in der App. Aber Du hast nach dem System des Codes ja gesucht, und nun scheinbar gefunden.
Ich hoffe nicht, dass für den normalen DHL Packstation-Nutzer nun nicht alles unnötig verkompliziert wird. DHL hat es ja nicht so mit schnellen technischen Umsetzungen in der Hinsicht Apps und Packstation.-Software.
Bearbeitet von: "cityhawk" 5. Feb
Verfasser
cityhawk5. Feb

-> weswegen ich den Beitrag etwas kritisch sehe.


Ich denke. die Kreise, die dieses Wissen, welches sich nun als unkompliziert, einfallslos und nicht besonders geheim herausgestellt hat, missbrauchen würden, brauchen kein MyDealz um darauf zu kommen.

Hinzu kommt übrigens, dass der Barcode keine individuelle, willkürliche Information enthält, also auch nicht wie ein "Einmalcode" gesperrt werden könnte.
Bearbeitet von: "Dealpferd" 5. Feb
Dealpferd5. Feb

Und mal was Ernstes zu diesem Thema: Ich finde diese Idee von DHL gar …Und mal was Ernstes zu diesem Thema: Ich finde diese Idee von DHL gar nicht witzig.Dass aus der Postnummer, die auf den Paketen für jedermann sichtbar ist, eine funktionierende Packstation Karte (nämlich ein billiger schwarz-weiß Ausdruck auf Papier oder ggf. mit dem Edding gemalt...) erstellt werden kann, ist ein Unding!Was auch immer auf dem Magnetstreifen der alten Karte stand, die Hürde war deutlich größer, eine solche Karte zu erstellen, als sie nun ist.Es ist ja nicht so, als hätten wir hier auf Mydealz super geheim im Quellcode der Packstation durchwühltund nun einen Exploit veröffentlicht. Eigentlich wurde nur die Multiplikation mit einer dreistelligen Zahl und das das passende Prüfziffernverfahren entdeckt.Das mag für viele Nutzer praktisch sein, macht es aber für Kriminelle leichter, Packstation Betrug zu betreiben.


Würde mich interessieren, was DHL dazu sagt...
Verfasser
cityhawk5. Feb

Ich hoffe nicht, dass für den normalen DHL Packstation-Nutzer nun nicht …Ich hoffe nicht, dass für den normalen DHL Packstation-Nutzer nun nicht alles unnötig verkompliziert wird.


Es sollte so kompliziert sein, dass es nicht trivial zu kopieren / errechnen ist. Wie ich schon geschrieben habe: Wenn die Codes wenigstens zufällig wären oder eine solche Komponente enthielten, dann könnte man einzelne Codes sperren, also eine Blacklist führen. Damit müsste man nicht einmal eine Whitelist haben. Eine Blacklist würde eine verschwindend geringe Datenmenge von wenigen Kilobytes benötigen und ließe sich auch Schubweise auf die Packstations verteilen, die diese dann im Arbeitsspeicher halten könnten. Alles nicht teuer oder kompliziert.

Es gäbe doch billige und sichere Verfahren, mit denen Fremde nicht einen von zwei notwendigen Teilen leicht erstellen können. Kopien der alten Karten zu erstellen, was auch immer auf dem Magnetstreifen stand, war um ein vielfaches schwieriger, da es nicht jeder Haushalt mit PC und S/W-Drucker machen kann.

Nochmal zur Verdeutlichung: Es hat genau einen schlauen Nutzer (L3Chiffre) gebraucht, der mit seiner eigenen Karte herausgefunden hat, dass die neue, wichtige Zahl (also die 11-stellige nach der 3000) die Postnummer mit "631" mutipliziert die Basis für den Barcode ist. Selbst ohne Kenntnis des Verfahrens für die Prüfziffer, hätte es 10 Barcodes auf einem Blatt Papier gebraucht, um die die passende Zahl durch Ausprobieren herauszufinden. Es haben noch 2-3 andere Nutzer ihren Senf dazugegeben und damit vermutlich das korrekte Verfahren zur Ermittlung der Prüfziffer herausgefunden. Nichts davon ist irgendwie geheim, individuell oder gar als Verschlüsselung anzusehen.
Bearbeitet von: "Dealpferd" 5. Feb
Verfasser
L3Chiffre3. Feb

Jetzt habe ich glaube ich die Antwort:Die Zahl setzt sich aus drei …Jetzt habe ich glaube ich die Antwort:Die Zahl setzt sich aus drei Bestandteilen zusammen: 3000 + Postnummer*631 + PrüfzifferWie sich die Prüfziffer berechnet, findet man hier:http://www.pruefziffernberechnung.de/0-9/2aus5interleaved.shtmlSo weit ich weiß, muss man dafür nur die Zahl nehmen, die sich aus Postnummer*631 berechnet.Man geht damit so vor, dass man die letzte Zahl (also von rechts nach links) mit 3 multipliziert, die vorletzte mit 1, dann weiter mit 3, 1, 3,....Dann die Zahlen addieren. Die Prüfziffer ist der volle Rest zur nächsthöheren durch 10 teilbaren Zahl. Wenn man als Summe also 79 erhält, ist die Prüfziffer (80-79) 1, wenn die Summe 83 ist, ist die Prüfziffer (90-83) 7.



L3Chiffre5. Feb

Hier ist übrigens ein alternativer Rechner, mit dem man die Prüfziffer mit …Hier ist übrigens ein alternativer Rechner, mit dem man die Prüfziffer mit der alternativen Gewichtung 2,1,2,... ganz einfach berechnen kann:http://werner.rothschopf.net/modulo10.htmAber auch hier passt es bei mir mit der Prüfnummer nur, wenn die 3 am Anfang weggelassen wird. Sowohl in der Variante 3, 1, 3... und die obere mit 2, 1, 2...Ich weiß ja nicht, wie DHL die Postnummern nummeriert, aber wenn sie erst mit 16... beginnen, sollte es mit elfstelligen Zahlen keine Probleme geben. Erst darunter sind die Zahlen zehnstellig.



Erschreckend, dass mit diesen wenigen Informationen ein Grundschüler auf einem halben Blatt Papier und mit einem Bleistift den Code für eine funktionierende Packstation Karte errechnen kann. Die Hürde, die DHL hätte einbauen müssen, ist damit quasi inexistent.
Dealpferd5. Feb

Erschreckend, dass mit diesen wenigen Informationen ein Grundschüler auf …Erschreckend, dass mit diesen wenigen Informationen ein Grundschüler auf einem halben Blatt Papier und mit einem Bleistift den Code für eine funktionierende Packstation Karte errechnen kann. Die Hürde, die DHL hätte einbauen müssen, ist damit quasi inexistent.


Das darf man dann auch als das benennen, was es ist: Sicherheitslücke.

Habt ihr mal vor, DHL öffentlich zu einer Stellungnahme aufzufordern? Finde ich nämlich ziemlich lächerlich, dass die Abholung dann irgendwann aus "Sicherheitsgründen" nur noch mit Karte möglich war, wenn sich jetzt jeder eine Karte selber drucken kann.
Verfasser
HClO45. Feb

Das darf man dann auch als das benennen, was es ist: Sicherheitslücke.Habt …Das darf man dann auch als das benennen, was es ist: Sicherheitslücke.Habt ihr mal vor, DHL öffentlich zu einer Stellungnahme aufzufordern? Finde ich nämlich ziemlich lächerlich, dass die Abholung dann irgendwann aus "Sicherheitsgründen" nur noch mit Karte möglich war, wenn sich jetzt jeder eine Karte selber drucken kann.


Ich habe DHL per Kontaktformular geschrieben.
Verfasser
HClO45. Feb

Das darf man dann auch als das benennen, was es ist: Sicherheitslücke.Habt …Das darf man dann auch als das benennen, was es ist: Sicherheitslücke.Habt ihr mal vor, DHL öffentlich zu einer Stellungnahme aufzufordern? Finde ich nämlich ziemlich lächerlich, dass die Abholung dann irgendwann aus "Sicherheitsgründen" nur noch mit Karte möglich war, wenn sich jetzt jeder eine Karte selber drucken kann.


Telefonisch habe ich es auch versucht, aber das war ein totaler Reinfall. Mir wurde eine kostenpflichtige Rufnummer von einem Technischen Support genannt, an die man mich aber nicht verbinden könne. Dann hat der Typ keine Lust mehr gehabt, gesagt der Vorgesetzte sei nicht da, mich aber "weitergeleitet". Da ging nur ein anderer Mitarbeiter dran, der wahrscheinlich 2 Plätze neben dran sitzt und mir auch nur gesagt hat, er kann nichts sagen oder machen, es sei kein Vorgesetzter da.

Ich hoffe einfach mal, dass DHL sich bewusst nicht auf den Code oder so verlässt, sondern auf das TAN Verfahren. Die Hürde könnte größer sein. Die Ergebnisse hier lassen eigentlich nur vermuten, dass hier bewusst keine Sicherheitsmechanismen eingebaut wurden. Eine Erklärung kann sein, dass der Code aus der Postnummer so erstellt werden sollte, dass es zu den vorhandenen Programmierungen für Pakatsendungen passt und deswegen nicht die normale Postnummer verwendfet werden kann.

Das heißt aber auch, dass DHL gestatten könnte, sich per Postnummer und TAN einzuwählen.

Fürs Protokoll: Ich habe um 18:15 5.2.18 für 15 Minuten mit 02284333112 telefoniert.
Bearbeitet von: "Dealpferd" 5. Feb
Naja ich finde die Hürde, an eine PIN oder smsTAN zu kommen jetzt so hoch, dass ich es trotzdem als sicher bezeichnen würde.
HouseMD5. Feb

Naja ich finde die Hürde, an eine PIN oder smsTAN zu kommen jetzt so hoch, …Naja ich finde die Hürde, an eine PIN oder smsTAN zu kommen jetzt so hoch, dass ich es trotzdem als sicher bezeichnen würde.


Verglichen mit den Schwierigkeiten, die mir deren ziemlich hart eingestellte Captcha-Abfrage auf der Webseite beschert, die nur dazu dient, zu sehen, wo das Paket such befindet, ist es allerdings ein Witz.
Bearbeitet von: "doneone" 5. Feb
Vorher musste man ~100 € investieren (oder weniger) und jetzt halt 0 €.
Wer die Packstationen auf betrügerische Weise nutzen möchte entscheidet sich meiner Einschätzung nach nicht wegen der "Hürde" von 100 € um.
Hat es hier jemand eigentlich schon mit einer 7 stelligen Postnummer (die multipliziert mit 631 nur eine 10 stellige Zahl ergibt) versucht?
Verfasser
jsschmid6. Feb

Hat es hier jemand eigentlich schon mit einer 7 stelligen Postnummer (die …Hat es hier jemand eigentlich schon mit einer 7 stelligen Postnummer (die multipliziert mit 631 nur eine 10 stellige Zahl ergibt) versucht?


Hast du denn eine? Es wäre interessant, das auszuprobieren. Eventuell werden die Nullen nach der 3 aufgefüllt, sodass man immer auf 16 Ziffern insgesamt kommt?

Ich habe übrigens noch keine Antwort von DHL. Lediglich die Information, dass mein Anliegen in eine Fachabteilung weitergeleitet wurde. Je mehr ich darüber nachdenke, komme ich zu dem Schluss, dass DHL das nie sicher haben wollte und sich dafür entschieden hat, dass einzelne Karte nicht gesperrt werden können. Wenn das nicht der Fall ist, gehören da einige Entscheidungsträger ausgetauscht und man muss sich ernsthaft Gedanken über die Sicherheit der sonstigen Daten bei DHL machen.
Dein Kommentar
Avatar
@
    Text

    Top Diskussionen

    Top-Händler