|
Sicherheitsmängel beim Bank-Startup N26 aufgedecktUups! Auf dem 33C3 in Hamburg konnte der Erlanger Sicherheitsexperte Vincent Haupert mit einigen recht leicht anwendbaren Hackertricks ein beim Berliner Startup N26 geführtes Bankkonto über sein Mobiltelefon übernehmen. Es war danach möglich Überweisungen auszuführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch zu nehmen. So etwas solte bei einer Bank-Software eigentlich nicht möglich sein. Grund für die Fehleranfälligkeit war zum einen, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System speichert. So war es einfach viele (ca. 33.000) der 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API erfolgreich zu identifizieren. Außerdem waren die Apps für iOS und Android anfällig für einen "Man in the Middle"-Angriff. Ohne den Client anzurühren, konnte man das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit kontrollieren und so auch Überweisungen ausführen. Als Helferin bei dem Hack erwies sich Siri, die Sprachassistentin in iOS. Auf diesem Weg hätten die Sicherheitstester nach Erlangen des Zugangscodes mündlich 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe. Mehr dazu bei https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html Alle Artikel zu
Kommentar: RE: 20170102 Schutzsystem von Online-Bank komplett ausgehebelt
Mit dem im Bild gezeigten Antik-Mobile wär das nicht passiert Ro., 02.01.2016 11:39
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Jj Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.html Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.html Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #InternetBanking #Apps #Siri #IOS #Android #Hacking #Trojaner #Cookies #Verschluesselung #Smartphone #Handy Erstellt: 2017-01-02 09:08:06 Aufrufe: 1902 Kommentar abgeben |
CC Lizenz Mitglied im European Civil Liberties Network Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor nutzen HTTPS nutzen Kein Java Transparenz in der Zivilgesellschaft |