Banking: N26 angeblich mit „massiven“ Sicherheitslücken

number26 n26 logoUpdate unten im Text! Original vom 13.12: Was für ein Jahr bei N26. Und irgendwie bin ich froh, kein Kunde zu sein. Wenn ich etwas von N26 las, dann war es meistens negatives Feedbacks in Medien, speziell von Kunden bei Twitter. Teils undurchsichtige Kündigungen, Probleme bei der Umstellung weg von Wirecard und und und. Und offensichtlich wird es in Bälde noch ein paar Nachrichten geben, denn angeblich klaffen „massive“ Sicherheitslücken bei N26. Gründerszene berichtet heute, dass der  IT-Sicherheitsexperte Vincent Haupert diese gefunden habe und darüber Ende des Monats auf dem Chaos Communication Congress sprechen wolle.

Die Ankündigung befindet sich hier. Haupert sei es gelungen, über die mobile N26-App Überweisungen zu manipulieren, ja sogar ganze Accounts zu übernehmen, damit alle möglichen Transaktionen auszuführen – und das „unabhängig vom verwendeten Endgerät“.

Vincent Haupert:

We have encountered severe vulnerabilities at the Berlin-based FinTech N26, which offers their smartphone-only bank account to many countries throughout Europe. Entirely independent of the used device, we were not only able to reveal N26 customers and to manipulate transactions in real-time but also to completely take over a victim’s bank account.

Er war auch in der Lage, in Echtzeit Transaktionen einzusehen und hatte Zugriff auf Kundendaten. Die Angriffspunkte sind bereits im September N26 mitgeteilt worden. Auf die Frage seitens Gründerszene, inwiefern die Angriffspunkte gestopft seien, soll eine Sprecherin mitgeteilt haben, dass man bis zum heutigen Zeitpunkt keine Schadensfälle kenne, „auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert“. Weil keine Nutzer Schaden genommen haben, habe auch keine Notwendigkeit bestanden, die Öffentlichkeit zu informieren. Dennoch wolle man ein Bug-Bounty-Programm einführen, Finder von Sicherheitslücken also entlohnen.

Update vom 14.12.2016, 09:42 Uhr:

Ich habe gerade mit der Pressestelle von n26 telefoniert. Man stellte klar, dass es zum jetzigen Zeitpunkt keine bekannten Sicherheitslücken gibt. Es habe welche gegeben, die man aber geschlossen hat. Mittlerweile ist auch auch auf der Seite von Vincent Haupert ein entsprechender Passus zu finden, der gestern noch nicht da war: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26.!“

(danke Christian!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Habe zwar einen Account, allerdings noch kein Geld darauf. Wollte das ganze erstmal beobachten. Ich denke, das wird dann auch erstmal so bleiben…

  2. Das werden einige Firmen noch lernen müssen – Sicherheit kostet zwar Geld, kann aber auch die Existenz des Unternehmens kosten!

  3. @caro Das werden dann aber auch die KUNDEN lernen müssen. Die Bank gewinnt immer. Und draufzahlen tut sie nicht.

  4. Hm, ja irgendwie hört man echt zuviel negative Dinge…

  5. Weil niemand zu Schaden gekommen ist oder die bisherige Schadenshäufigkeit zu gering, ist ein Bugfix nicht notwendig.
    So entstand der Lidl-Kassenfehler (Endbetrag exakt 0€, Kassenbon davon zwingend notwendig – Probierts einfach selbst aus.)

    Es gibt leider einige Firmen die auf diesem Trip sind, N26 sind da nicht die einzigen. So ähnliche Bugfix-Strategien würde ich Tesla (Wägen sind dank der Kundenservice-Passwort-Reset-Prozedur komplett von Fremden entsperrbar und fahrbar) und einigen anderen ebenfalls zumuten.

    Da Mastercard Transaktionen für die Bank per Mausklick grundlos rückbuchbar sind könnte ich mir auch gut vorstellen dass N26 das als Grund nimmt derartige Bugs nicht zu schließen.
    Bis dann halt derjenige kommt der einen Kundenaccount geknackt hat und die Bankangestellten damit beschäftigt solche Rückbuchungen immer wieder erneut in Gegenrichtung auszuführen.

  6. naja mittlerweile ist N26 auch echt langweilig. Das einzige was interessant ist, ist die App. leistungstechnisch sind die mittlerweile sogar schlechter als andere.

  7. N26 braucht es nicht. Die Firma besteht zu 99% aus Hype.

  8. Ist doch eine pragmatische Antwort: Bisher keine Schadensfälle, also auch keine Sicherheitsprobleme. Nicht das Geseier anderer Pressestellen mit „wir nehmen das sehr Ernst“ usw. ect. pp. Wers nötig hat eröffnet bei N26 ein Konto, alle anderen gehen lieber zu einer „Bank“.

  9. Welches Konto ist denn derzeit empfehlenswert?
    Gute App ist erwünscht. Am liebsten mit Pushmitteilungen.

  10. Solche Meldungen bestätigen mich auch immer wieder in meiner Meinung um diesen Laden weiterhin. Einen großen Bogen zu machen. Von ihrem Geschäftsgebaren her hat N26 sich eine gedankliche Einsortierung als Hinterhofklitsche bei mir gesichert.

  11. find ich geil says:

    finds schon geil dass Kerle die gerade mal mit Master Fertig sind sich Sicherheitsexperten nennen ……

  12. …und was wurde aus den Sicherheitslücken anderer Banken, deren Kunden noch immer mit TAN-Listen arbeiten? Was ist mit der Sicherheitslücke der mTAN/smsTAN?

    Das soll keine Polemik sein – Ohne Details fällt es mir allerdings schwer das ganze einzuschätzen.

    Es gab auch früher schon Sicherheitslücken in vielen Bereichen wo es am Ende immer hieß: „Wenn man das Gerät in die Finger bekommt und wenn man entsperrt bekommt und wenn man dann dies und das…“

    Wenn es in diesem Fall aber ein Angriff auf die Transferdaten im Internet wäre – Also kein Zugriff auf die Geräte der zu schädigenden Kunden erforderlich ist, dann wäre das schon eine andere Hausnummer.
    …außer es ist halt ein Hack der Webseite und gilt nicht, wenn die Kunden ausschließlich die App verwenden…

    Also – ohne Details schwer einzuschätzen. Klingt auf jeden Fall heftig! Aber tut es es heutzutage ja immer, sonst guckt ja niemand 😉

  13. angeblich mit „massiven“

    Da habe ich schon aufgehört zu lesen… Wenn es konkretes gibt, kann sich Caschy ja nochmal bei seinen Lesern melden.

  14. Erinnert sich noch jemand an die Comdirect-Sicherheitslücke vor ein paar Monaten?

    Da hat man sich beim Login in falsche fremde Accounts eingeloggt – das war eine massive Sicherheitslücke!

  15. Ich hab N26 von Beginn an. Hatte nie Probleme! Selbst die Umstellung des Kontos hat binnen weniger Minuten funktioniert.
    Wie so oft im WWW finden sich nur die Nörgler ein.

  16. Wie praktisch ist das denn von N26, dass wenn man eine Sicherheitslücke finde, man die „Test-Transaktionen“ unter dem „Bug-Bounty-Programm“ buchen kann 😉

  17. was mir neulich den arsch gerettet hatte war mein n26 konto – kein geld dabei, karte im hotel vergessen und ich brauchte bares…. barcode an der budni kasse gezeigt, bargeld bekommen problem gelöst. das finde ich schon super und ein alleinstellungsmerkmal.

    anyway, mit der sicherheit ist nicht zu spassen und ich hoffe das ganze ist extrem schnell gefixt!

  18. Selbst auf der verlinkten Seite steht: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed.“ Also so massiv kann das ja wohl nicht mehr sein!?

  19. Also ich bin bisher sehr zufrieden mit dem Konto. Sogar die Pebble-Erstattung von Kickstarter kam problemlos zurück, obwohl das Konto zwischen Zahlung und Erstattung von Wirecard nach N26 migriert wurde (inkl Änderung der KK-Nummer).

  20. Ein CDU-Politiker versucht mit zweifelhaften Studien solchen Fintechs zu puschen – hier mehr dazu:

    http://www.manager-magazin.de/unternehmen/banken/jens-spahn-die-fintech-luftnummer-des-cdu-aufsteigers-spahn-a-1125787.html

    Und weil Wissen nie schaden kann, hier noch das „merkelwürdige“ Geschäftsmodell von Wirecard:

    http://www.manager-magazin.de/unternehmen/banken/wirecard-aktie-unter-attacke-der-shortseller-a-1079328.html

  21. Ich bin N26 Kunde und nutze das Konto sporadisch. Was mich bisher dazu bewogen hat, sind vor allem gänzlich neue Arten mit Geld umzugehen. Überweisungen an andere N26er gehen in Sekunden, man kann ohne Karte mit dem Smartphone Geld abheben und einzahlen, Ein- und Ausgaben werden kategorisiert und jede Transaktion wird per Push mitgeteilt.

    Dass ein Startup in der Bankenszene Fehler macht? Geschenkt. Bisher nutze ich das Konto deshalb auch nur als reines Guthabenkonto für den täglichen Kleinbedarf. Mein Gehalt wandert da sicher nicht drauf.

  22. Ich nutze N26 und nutze das Konto ausschließlich als Konto für Onlinekäufe, wenns mal die MAsterCard sein muss und nicht via PayPal geht. Hatte bis auf Bahn.de, die meine 3stellige Sicherheitsnummer warum auch immer nicht akzeptierten, auch noch nie Probleme.
    Ich benutze das Konto allerdings als ne Art PrePaid, überweise von meinem Hauptkonto immer kleinere Beträge wenn es nötig ist. Als festes Hauptkonto bevorzuge ich doch lieber ne echte Bank 🙂

  23. Ich bin fertig mit N26. Die App ist wirklich super! Hut ab dafür. Aber eine Bank ist eben mehr als eine App und da ist N26 in jedem Bereich schlechter als eine normale Bank. Ich warte immer noch auf 3 Antworten vom Support. Was wäre, wenn ich jetzt mal einen Notfall gehabt hätte? Bei der Hotline sitzt man auch gerne 30min+ in der Warteschlange.

    N26: Super App, schlechte Bank.

  24. Gerne möchten wir uns auch als N26 zum Artikel äußern:

    Es handelt sich hierbei um ein Forschungsprojekt. Alle Sicherheitslücken, die dabei aufkamen, sind bereits vollständig geschlossen. Das hat auch Vincent Haupert auf seiner Homepage bestätigt. Zu keiner Zeit wurde auf Kundendaten zugegriffen und es ist auch keinem Kunden ein Schaden entstanden.

    Mehr Informationen gibt es hier:
    https://n26.com/sicherheit-bei-n26/?lang=de

  25. Also ich nutze die Kreditkarte für meine online Einkäufe (iTunes, Amazon…)
    Als nun die Kontoumstellung anstand, hatte ich ein paar Probleme mit dem aktivieren der neuen Karte jedoch hat sich das nun auch geklärt.
    Alles in allem bin ich sehr zufrieden!

  26. Jetzt muss ich doch auch mal etwas dazu sagen.
    Ich weis nicht, warum hier der Seitenbetreiber, ein immer währendes bashing gegen N26 betreibt.
    Auch andere Banken haben große Sicherheits- Probleme, und manchmal einen miesen Service, werden hier aber nie genannt, geschweige denn in der übrigen Presse.

    Das Banken eine Riesen Macht haben und kein Interesse eine neue Konkurrenz zu bekommen, die dazu auch noch moderne Wege gehen ist mir schon klar.

    Ich habe seit den Anfängen dort ein Konto.
    Die Anmeldung dauerte per Handy ca 10 Minuten.
    Der Umzug mit neuer Karte etc. ging problemlos, kostete aber ein wenig Arbeit.
    Der Service ist ein wenig holperig, die Telefongeister manchmal zu ahnungslos, aber sie arbeiten daran.
    Wenn man gerade betroffen ist, ist das zwar ärgerlich, aber…
    Das sie anfangen, mit dem Verkauf von Bank Produkten Geld zu verdienen, kann man ihnen nicht wohl kaum vorwerfen, das machen andere Banken auch.

    Ergo: Es ist eine Junge Bank, mit leichten Problemen, die sie aber bestimmt in den Griff bekommen. Man sollte ihnen also durchaus eine Chance geben.
    Wo liegt das Risiko, das alles Geld weg ist, wenn was passiert?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.