Banking: N26 angeblich mit „massiven“ Sicherheitslücken
Update unten im Text! Original vom 13.12: Was für ein Jahr bei N26. Und irgendwie bin ich froh, kein Kunde zu sein. Wenn ich etwas von N26 las, dann war es meistens negatives Feedbacks in Medien, speziell von Kunden bei Twitter. Teils undurchsichtige Kündigungen, Probleme bei der Umstellung weg von Wirecard und und und. Und offensichtlich wird es in Bälde noch ein paar Nachrichten geben, denn angeblich klaffen „massive“ Sicherheitslücken bei N26. Gründerszene berichtet heute, dass der IT-Sicherheitsexperte Vincent Haupert diese gefunden habe und darüber Ende des Monats auf dem Chaos Communication Congress sprechen wolle.
Die Ankündigung befindet sich hier. Haupert sei es gelungen, über die mobile N26-App Überweisungen zu manipulieren, ja sogar ganze Accounts zu übernehmen, damit alle möglichen Transaktionen auszuführen – und das „unabhängig vom verwendeten Endgerät“.
We have encountered severe vulnerabilities at the Berlin-based FinTech N26, which offers their smartphone-only bank account to many countries throughout Europe. Entirely independent of the used device, we were not only able to reveal N26 customers and to manipulate transactions in real-time but also to completely take over a victim’s bank account.
Er war auch in der Lage, in Echtzeit Transaktionen einzusehen und hatte Zugriff auf Kundendaten. Die Angriffspunkte sind bereits im September N26 mitgeteilt worden. Auf die Frage seitens Gründerszene, inwiefern die Angriffspunkte gestopft seien, soll eine Sprecherin mitgeteilt haben, dass man bis zum heutigen Zeitpunkt keine Schadensfälle kenne, „auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert“. Weil keine Nutzer Schaden genommen haben, habe auch keine Notwendigkeit bestanden, die Öffentlichkeit zu informieren. Dennoch wolle man ein Bug-Bounty-Programm einführen, Finder von Sicherheitslücken also entlohnen.
Update vom 14.12.2016, 09:42 Uhr:
Ich habe gerade mit der Pressestelle von n26 telefoniert. Man stellte klar, dass es zum jetzigen Zeitpunkt keine bekannten Sicherheitslücken gibt. Es habe welche gegeben, die man aber geschlossen hat. Mittlerweile ist auch auch auf der Seite von Vincent Haupert ein entsprechender Passus zu finden, der gestern noch nicht da war: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26.!“
Habe zwar einen Account, allerdings noch kein Geld darauf. Wollte das ganze erstmal beobachten. Ich denke, das wird dann auch erstmal so bleiben…
Das werden einige Firmen noch lernen müssen – Sicherheit kostet zwar Geld, kann aber auch die Existenz des Unternehmens kosten!
@caro Das werden dann aber auch die KUNDEN lernen müssen. Die Bank gewinnt immer. Und draufzahlen tut sie nicht.
Hm, ja irgendwie hört man echt zuviel negative Dinge…
Weil niemand zu Schaden gekommen ist oder die bisherige Schadenshäufigkeit zu gering, ist ein Bugfix nicht notwendig.
So entstand der Lidl-Kassenfehler (Endbetrag exakt 0€, Kassenbon davon zwingend notwendig – Probierts einfach selbst aus.)
Es gibt leider einige Firmen die auf diesem Trip sind, N26 sind da nicht die einzigen. So ähnliche Bugfix-Strategien würde ich Tesla (Wägen sind dank der Kundenservice-Passwort-Reset-Prozedur komplett von Fremden entsperrbar und fahrbar) und einigen anderen ebenfalls zumuten.
Da Mastercard Transaktionen für die Bank per Mausklick grundlos rückbuchbar sind könnte ich mir auch gut vorstellen dass N26 das als Grund nimmt derartige Bugs nicht zu schließen.
Bis dann halt derjenige kommt der einen Kundenaccount geknackt hat und die Bankangestellten damit beschäftigt solche Rückbuchungen immer wieder erneut in Gegenrichtung auszuführen.
naja mittlerweile ist N26 auch echt langweilig. Das einzige was interessant ist, ist die App. leistungstechnisch sind die mittlerweile sogar schlechter als andere.
N26 braucht es nicht. Die Firma besteht zu 99% aus Hype.
Ist doch eine pragmatische Antwort: Bisher keine Schadensfälle, also auch keine Sicherheitsprobleme. Nicht das Geseier anderer Pressestellen mit „wir nehmen das sehr Ernst“ usw. ect. pp. Wers nötig hat eröffnet bei N26 ein Konto, alle anderen gehen lieber zu einer „Bank“.
Welches Konto ist denn derzeit empfehlenswert?
Gute App ist erwünscht. Am liebsten mit Pushmitteilungen.
Solche Meldungen bestätigen mich auch immer wieder in meiner Meinung um diesen Laden weiterhin. Einen großen Bogen zu machen. Von ihrem Geschäftsgebaren her hat N26 sich eine gedankliche Einsortierung als Hinterhofklitsche bei mir gesichert.
finds schon geil dass Kerle die gerade mal mit Master Fertig sind sich Sicherheitsexperten nennen ……
…und was wurde aus den Sicherheitslücken anderer Banken, deren Kunden noch immer mit TAN-Listen arbeiten? Was ist mit der Sicherheitslücke der mTAN/smsTAN?
Das soll keine Polemik sein – Ohne Details fällt es mir allerdings schwer das ganze einzuschätzen.
Es gab auch früher schon Sicherheitslücken in vielen Bereichen wo es am Ende immer hieß: „Wenn man das Gerät in die Finger bekommt und wenn man entsperrt bekommt und wenn man dann dies und das…“
Wenn es in diesem Fall aber ein Angriff auf die Transferdaten im Internet wäre – Also kein Zugriff auf die Geräte der zu schädigenden Kunden erforderlich ist, dann wäre das schon eine andere Hausnummer.
…außer es ist halt ein Hack der Webseite und gilt nicht, wenn die Kunden ausschließlich die App verwenden…
Also – ohne Details schwer einzuschätzen. Klingt auf jeden Fall heftig! Aber tut es es heutzutage ja immer, sonst guckt ja niemand 😉
angeblich mit „massiven“
Da habe ich schon aufgehört zu lesen… Wenn es konkretes gibt, kann sich Caschy ja nochmal bei seinen Lesern melden.
Erinnert sich noch jemand an die Comdirect-Sicherheitslücke vor ein paar Monaten?
Da hat man sich beim Login in falsche fremde Accounts eingeloggt – das war eine massive Sicherheitslücke!
Ich hab N26 von Beginn an. Hatte nie Probleme! Selbst die Umstellung des Kontos hat binnen weniger Minuten funktioniert.
Wie so oft im WWW finden sich nur die Nörgler ein.
Wie praktisch ist das denn von N26, dass wenn man eine Sicherheitslücke finde, man die „Test-Transaktionen“ unter dem „Bug-Bounty-Programm“ buchen kann 😉
was mir neulich den arsch gerettet hatte war mein n26 konto – kein geld dabei, karte im hotel vergessen und ich brauchte bares…. barcode an der budni kasse gezeigt, bargeld bekommen problem gelöst. das finde ich schon super und ein alleinstellungsmerkmal.
anyway, mit der sicherheit ist nicht zu spassen und ich hoffe das ganze ist extrem schnell gefixt!
Selbst auf der verlinkten Seite steht: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed.“ Also so massiv kann das ja wohl nicht mehr sein!?
Also ich bin bisher sehr zufrieden mit dem Konto. Sogar die Pebble-Erstattung von Kickstarter kam problemlos zurück, obwohl das Konto zwischen Zahlung und Erstattung von Wirecard nach N26 migriert wurde (inkl Änderung der KK-Nummer).
Ein CDU-Politiker versucht mit zweifelhaften Studien solchen Fintechs zu puschen – hier mehr dazu:
http://www.manager-magazin.de/unternehmen/banken/jens-spahn-die-fintech-luftnummer-des-cdu-aufsteigers-spahn-a-1125787.html
Und weil Wissen nie schaden kann, hier noch das „merkelwürdige“ Geschäftsmodell von Wirecard:
http://www.manager-magazin.de/unternehmen/banken/wirecard-aktie-unter-attacke-der-shortseller-a-1079328.html