DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song RSS Twitter Youtube Tumblr Flickr Wikipedia Donation Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
02.01.2017 Schutzsystem von Online-Bank komplett ausgehebelt
Sorry, most articles are not available in English yet

Sicherheitsmängel beim Bank-Startup N26 aufgedeckt

Uups! Auf dem 33C3 in Hamburg konnte der Erlanger Sicherheitsexperte Vincent Haupert mit einigen recht leicht anwendbaren Hackertricks ein beim Berliner Startup N26 geführtes Bankkonto über sein Mobiltelefon übernehmen.

Es war danach möglich Überweisungen auszuführen und den Sofort-Kreditrahmen in Höhe von 2000 Euro in Anspruch zu nehmen. So etwas solte bei einer Bank-Software eigentlich nicht möglich sein.

Grund für die Fehleranfälligkeit war zum einen, dass ein Nutzer alle seine Kontakte mit E-Mails und Telefonnummern bei N26 hochladen könne und das Unternehmen diese unverschlüsselt im Backend-System speichert. So war es einfach viele (ca. 33.000) der 68 Millionen Login-Informationen aus dem Dropbox-Hack an der N26-API erfolgreich zu identifizieren.

Außerdem waren die Apps für iOS und Android anfällig für einen "Man in the Middle"-Angriff. Ohne den Client anzurühren, konnte man das von N26 verwendete Application Programming Interface (API) quasi in Echtzeit kontrollieren und so auch Überweisungen ausführen.

Als Helferin bei dem Hack erwies sich Siri, die Sprachassistentin in iOS. Auf diesem Weg hätten die Sicherheitstester nach Erlangen des Zugangscodes mündlich 200 Überweisungen von Kleinstbeträgen durchgeführt, ohne dass der angeblich irreguläre Aktionen aufdeckende N26-Algorithmus Alarm geschlagen habe.

Mehr dazu bei https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html
und 33C3 https://events.ccc.de/congress/2016/wiki/Main_Page

Alle Artikel zu

 

Kommentar: RE: 20170102 Schutzsystem von Online-Bank komplett ausgehebelt

 

Mit dem im Bild gezeigten Antik-Mobile wär das nicht passiert
F... iOS, Android Apps

Ro., 02.01.2016 11:39

 

 

Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Jj
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.html
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/5863-20170102-schutzsystem-von-online-bank-komplett-ausgehebelt.html
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #InternetBanking #Apps #Siri #IOS #Android #Hacking #Trojaner #Cookies #Verschluesselung #Smartphone #Handy
Created: 2017-01-02 09:08:06 Hits: 1900
Leave a Comment

 If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society