Banking: N26 angeblich mit „massiven“ Sicherheitslücken

14. Dezember 2016 Kategorie: Internet, Mobile, geschrieben von: caschy

number26 n26 logoUpdate unten im Text! Original vom 13.12: Was für ein Jahr bei N26. Und irgendwie bin ich froh, kein Kunde zu sein. Wenn ich etwas von N26 las, dann war es meistens negatives Feedbacks in Medien, speziell von Kunden bei Twitter. Teils undurchsichtige Kündigungen, Probleme bei der Umstellung weg von Wirecard und und und. Und offensichtlich wird es in Bälde noch ein paar Nachrichten geben, denn angeblich klaffen „massive“ Sicherheitslücken bei N26. Gründerszene berichtet heute, dass der  IT-Sicherheitsexperte Vincent Haupert diese gefunden habe und darüber Ende des Monats auf dem Chaos Communication Congress sprechen wolle.

Die Ankündigung befindet sich hier. Haupert sei es gelungen, über die mobile N26-App Überweisungen zu manipulieren, ja sogar ganze Accounts zu übernehmen, damit alle möglichen Transaktionen auszuführen – und das „unabhängig vom verwendeten Endgerät“.

Vincent Haupert:

We have encountered severe vulnerabilities at the Berlin-based FinTech N26, which offers their smartphone-only bank account to many countries throughout Europe. Entirely independent of the used device, we were not only able to reveal N26 customers and to manipulate transactions in real-time but also to completely take over a victim’s bank account.

Er war auch in der Lage, in Echtzeit Transaktionen einzusehen und hatte Zugriff auf Kundendaten. Die Angriffspunkte sind bereits im September N26 mitgeteilt worden. Auf die Frage seitens Gründerszene, inwiefern die Angriffspunkte gestopft seien, soll eine Sprecherin mitgeteilt haben, dass man bis zum heutigen Zeitpunkt keine Schadensfälle kenne, „auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert“. Weil keine Nutzer Schaden genommen haben, habe auch keine Notwendigkeit bestanden, die Öffentlichkeit zu informieren. Dennoch wolle man ein Bug-Bounty-Programm einführen, Finder von Sicherheitslücken also entlohnen.

Update vom 14.12.2016, 09:42 Uhr:

Ich habe gerade mit der Pressestelle von n26 telefoniert. Man stellte klar, dass es zum jetzigen Zeitpunkt keine bekannten Sicherheitslücken gibt. Es habe welche gegeben, die man aber geschlossen hat. Mittlerweile ist auch auch auf der Seite von Vincent Haupert ein entsprechender Passus zu finden, der gestern noch nicht da war: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26.!“

(danke Christian!)

 

Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23585 Artikel geschrieben.