Banking: N26 angeblich mit „massiven“ Sicherheitslücken
von caschy | 26 Kommentare
Update unten im Text! Original vom 13.12: Was für ein Jahr bei N26. Und irgendwie bin ich froh, kein Kunde zu sein. Wenn ich etwas von N26 las, dann war es meistens negatives Feedbacks in Medien, speziell von Kunden bei Twitter. Teils undurchsichtige Kündigungen, Probleme bei der Umstellung weg von Wirecard und und und. Und offensichtlich wird es in Bälde noch ein paar Nachrichten geben, denn angeblich klaffen „massive“ Sicherheitslücken bei N26. Gründerszene berichtet heute, dass der IT-Sicherheitsexperte Vincent Haupert diese gefunden habe und darüber Ende des Monats auf dem Chaos Communication Congress sprechen wolle.
Die Ankündigung befindet sich hier. Haupert sei es gelungen, über die mobile N26-App Überweisungen zu manipulieren, ja sogar ganze Accounts zu übernehmen, damit alle möglichen Transaktionen auszuführen – und das „unabhängig vom verwendeten Endgerät“.
We have encountered severe vulnerabilities at the Berlin-based FinTech N26, which offers their smartphone-only bank account to many countries throughout Europe. Entirely independent of the used device, we were not only able to reveal N26 customers and to manipulate transactions in real-time but also to completely take over a victim’s bank account.
Er war auch in der Lage, in Echtzeit Transaktionen einzusehen und hatte Zugriff auf Kundendaten. Die Angriffspunkte sind bereits im September N26 mitgeteilt worden. Auf die Frage seitens Gründerszene, inwiefern die Angriffspunkte gestopft seien, soll eine Sprecherin mitgeteilt haben, dass man bis zum heutigen Zeitpunkt keine Schadensfälle kenne, „auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert“. Weil keine Nutzer Schaden genommen haben, habe auch keine Notwendigkeit bestanden, die Öffentlichkeit zu informieren. Dennoch wolle man ein Bug-Bounty-Programm einführen, Finder von Sicherheitslücken also entlohnen.
Update vom 14.12.2016, 09:42 Uhr:
Ich habe gerade mit der Pressestelle von n26 telefoniert. Man stellte klar, dass es zum jetzigen Zeitpunkt keine bekannten Sicherheitslücken gibt. Es habe welche gegeben, die man aber geschlossen hat. Mittlerweile ist auch auch auf der Seite von Vincent Haupert ein entsprechender Passus zu finden, der gestern noch nicht da war: „As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26.!“
Wird geladen ...
Ich bin N26 Kunde und nutze das Konto sporadisch. Was mich bisher dazu bewogen hat, sind vor allem gänzlich neue Arten mit Geld umzugehen. Überweisungen an andere N26er gehen in Sekunden, man kann ohne Karte mit dem Smartphone Geld abheben und einzahlen, Ein- und Ausgaben werden kategorisiert und jede Transaktion wird per Push mitgeteilt.
Dass ein Startup in der Bankenszene Fehler macht? Geschenkt. Bisher nutze ich das Konto deshalb auch nur als reines Guthabenkonto für den täglichen Kleinbedarf. Mein Gehalt wandert da sicher nicht drauf.
Ich nutze N26 und nutze das Konto ausschließlich als Konto für Onlinekäufe, wenns mal die MAsterCard sein muss und nicht via PayPal geht. Hatte bis auf Bahn.de, die meine 3stellige Sicherheitsnummer warum auch immer nicht akzeptierten, auch noch nie Probleme.
Ich benutze das Konto allerdings als ne Art PrePaid, überweise von meinem Hauptkonto immer kleinere Beträge wenn es nötig ist. Als festes Hauptkonto bevorzuge ich doch lieber ne echte Bank 🙂
Ich bin fertig mit N26. Die App ist wirklich super! Hut ab dafür. Aber eine Bank ist eben mehr als eine App und da ist N26 in jedem Bereich schlechter als eine normale Bank. Ich warte immer noch auf 3 Antworten vom Support. Was wäre, wenn ich jetzt mal einen Notfall gehabt hätte? Bei der Hotline sitzt man auch gerne 30min+ in der Warteschlange.
N26: Super App, schlechte Bank.
Gerne möchten wir uns auch als N26 zum Artikel äußern:
Es handelt sich hierbei um ein Forschungsprojekt. Alle Sicherheitslücken, die dabei aufkamen, sind bereits vollständig geschlossen. Das hat auch Vincent Haupert auf seiner Homepage bestätigt. Zu keiner Zeit wurde auf Kundendaten zugegriffen und es ist auch keinem Kunden ein Schaden entstanden.
Mehr Informationen gibt es hier:
https://n26.com/sicherheit-bei-n26/?lang=de
Also ich nutze die Kreditkarte für meine online Einkäufe (iTunes, Amazon…)
Als nun die Kontoumstellung anstand, hatte ich ein paar Probleme mit dem aktivieren der neuen Karte jedoch hat sich das nun auch geklärt.
Alles in allem bin ich sehr zufrieden!
Jetzt muss ich doch auch mal etwas dazu sagen.
Ich weis nicht, warum hier der Seitenbetreiber, ein immer währendes bashing gegen N26 betreibt.
Auch andere Banken haben große Sicherheits- Probleme, und manchmal einen miesen Service, werden hier aber nie genannt, geschweige denn in der übrigen Presse.
Das Banken eine Riesen Macht haben und kein Interesse eine neue Konkurrenz zu bekommen, die dazu auch noch moderne Wege gehen ist mir schon klar.
Ich habe seit den Anfängen dort ein Konto.
Die Anmeldung dauerte per Handy ca 10 Minuten.
Der Umzug mit neuer Karte etc. ging problemlos, kostete aber ein wenig Arbeit.
Der Service ist ein wenig holperig, die Telefongeister manchmal zu ahnungslos, aber sie arbeiten daran.
Wenn man gerade betroffen ist, ist das zwar ärgerlich, aber…
Das sie anfangen, mit dem Verkauf von Bank Produkten Geld zu verdienen, kann man ihnen nicht wohl kaum vorwerfen, das machen andere Banken auch.
Ergo: Es ist eine Junge Bank, mit leichten Problemen, die sie aber bestimmt in den Griff bekommen. Man sollte ihnen also durchaus eine Chance geben.
Wo liegt das Risiko, das alles Geld weg ist, wenn was passiert?