Die Post hat alle ihre rund 300 Internet-Dienste über das vergangene Wochenende 24 Stunden lang von rund 150 Hackern angreifen lassen. Sie war eine der Zielscheiben an der internationalen Konferenz "Le Hack" in Paris. Die ethischen Hacker fanden 22 Schwachstellen, eine davon gilt als ernst, eine als kritisch. Die übrigen 20 Funde waren leichte bis mittelschwere Schwachstellen, wie die Post mitteilte. 8700 Euro wurden für die Lücken als Prämien ausbezahlt.
Marcel Zumbühl, der CISO der Post, bezeichnete die Zahl der Schwachstellen als nicht besonders hoch. 150 der weltweit besten Hacker hätten einräumen müssen, dass sie sich an den Sicherheitsvorkehrungen der Post grösstenteils die Zähne ausgebissen hätten. Ein 10-köpfiges Security-Team der Post habe vor Ort den Dialog zu den ethischen Hackern gesucht und die Sicherheit der Dienste garantiert, so Zumbühl weiter.
Durchgeführt wurde das Programm von der Plattform Yeswehack, die auch das Bug-Bounty-Programm der Post betreut. In dessen Rahmen wurden in den letzten vier Jahren insgesamt 1159 Lücken gemeldet worden. 437 davon wurden vond er Post bestätigt, 19 gelten als kritisch, 61 ernsthaft. Die Post hat bislang Prämien in der Höhe von 380'000 Euro ausbezahlt.
Die nun am Live-Event aufgespürte kritische Schwachstelle betraf gemäss dem CISO den Ortungsdienst für verloren gemeldete Pakete. Diesen brauchen Post-Mitarbeiterinnen und -Mitarbeiter. Obwohl der Dienst intern sei, hätten die Hacker eindringen können. Die Entdeckung war der Post 3000 Euro wert.
Die ernsthafte Schwachstelle, die mit 1500 Euro prämiert wurde, fanden Hacker beim Webtransfer. Diese Plattform stellt Nutzenden grosse Datenmengen wie etwa Bilder als Download zur Verfügung. Die Hacker drangen den Angaben zufolge ein, so dass sie Mail-Adressen von Post-Mitarbeitern mit Phishing-Mails hätten bombardieren können.