Präsentation am 27. Dezember
Number26: Massive Sicherheitslücken entdeckt
Bereits im vergangenen Jahr sorgten die Analyse-Arbeiten des Wissenschaftlers Vincent Haupert für Schlagzeilen.
Im Rahmen des 32. Chaos Communication Congress deckte der Security-Experte Sicherheitsprobleme von App-basierten TAN-Verfahren auf und zeigte am Beispiel der von Starfinanz verantworteten Sparkassen-App den Angriff auf die mobilen Tan-Transaktionen – ifun.de berichtete.
Auch bei der diesjährigen Kongress-Veranstaltung des Chaos Computer Clubs wird Haupert wieder einen Vortrag über klaffende Sicherheitslücken bei hiesigen Online-Banking-Anbietern halten. Im Fokus des Wissenschaftlers steht in diesem Jahr die „iPhone-Bank“ N26, die Anfang 2016 noch unter dem Namen Number26 firmierte und auf ein durchwachsenes Jahr zurückblicken kann.
So hat N26 nicht nur mit leichten Hürden beim Umzug in die Selbständigkeit zu kämpfen, sondern ergänzte auch das eigene Produkt-Portfolio um Anlageprodukte, kostenpflichtige Premium-Angebote mit integrierten Versicherungen und führte sowohl eine Automaten- als auch eine Ersatzkarten-Gebühr ein.
Shut Up and Take My Money!
Zurück zu Haupert: Dieser hat auf der Webseite des Informatik-Lehrstuhls der Uni Erlangen nun einen Vortrag für den 27. Dezember angekündigt, der unter der Überschrift „Shut Up and Take My Money! – The Red Pill of N26 Security“ mehrere Sicherheitslücken im Banking-System des N26-Angebotes adressieren wird. Dem Forscher war es gelungen n26 Kundendaten offenzulegen, Transaktionen in Echtzeit zu manipulieren und ausgewählte Kundenkonetn vollständig zu übernehmen.
Vollständige Kontenübernahme
In seiner Präsentations-Ankündigung schreibt Haupert:
Im Laufe der letzten Jahre haben sich Smartphones zu allgegenwärtigen Geräten entwickelt – fast alle Anwender tragen ihre Geräte ständig mit sich herum. Obwohl Finanzinstitute in der Regel eher konservativ auf neue Technologien und Trends reagieren, bieten die meisten etablierten Banken ihren Kunden heute Banking-Anwendungen und App-basierte Zwei-Faktor-Authentifizierungsmethoden an.
Fintechs, Technologie-Start-ups im Finanzsektor, erhöhen den Druck auf die etablierten Banken nun, indem sie das Smartphone zum zentralen Hub im finanziellen Leben ihrer Kunden machen. Ein attraktives Geschäftsmodell, das vor allem auf junge Kunden zielt.
Doch FinTechs sind auch für den zunehmenden Rückgang wichtiger konzeptioneller Sicherheitsmaßnahmen mitverantwortlich. […] Beim Berliner FinTech N26, die ihr Smartphone-gestütztes Bankkonto in ganz Europa anbieten, haben wir gravierende Schwachstellen ausmachen können. Unabhängig vom eingesetzten Gerät konnten wir nicht nur N26-Kundendaten offenlegen und Transaktionen in Echtzeit manipulieren, sondern auch die Konten ausgesuchter Opfers vollständig übernehmen.
Haupert, der die Verantwortlichen von N26 bereits über seine Forschungsarbeiten informiert hat, geht davon aus, dass die Schwachstellen inzwischen geschlossen wurden und die geplante Veröffentlichung seiner Erkenntnisse den Banking-Alltag aktiver N26-Kunden nicht beeinflussen wird.
Das Unternehmen selbst, dies schreibt das Start-Up-Magazin „Gründerszene“ unter Berufung auf eine N26-Sprecherin, habe keine Notwendigkeit gesehen, die Öffentlichkeit über die von Haupert ausgemachten Sicherheitslücken zu informieren. „Unsere Kunden brauchen sich keine Sorgen zu machen“, so die Sprecherin.
As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26.
Quelle:
https://www1.informatik.uni-erlangen.de/content/n26
Und jetzt? Steht doch genau so oben im Artikel. Nicht nur der Quellen-Link, sondern auch:
„Haupert, der die Verantwortlichen von N26 bereits über seine Forschungsarbeiten informiert hat, geht davon aus, dass die Schwachstellen inzwischen geschlossen wurden und die geplante Veröffentlichung seiner Erkenntnisse den Banking-Alltag aktiver N26-Kunden nicht beeinflussen wird.“
Die Bedeutung ist aber entscheidend anders.
“ to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed“
-> Unseres Wissens nach wurden alle Sicherheitslücken die wir an N26 berichtet haben geschlossen.
Im Vergleich zu „geht davon aus, dass die Schwachstellen inzwischen geschlossen wurden“
Das erste zeigt, dass sie ein Wissen darüber haben und also auch eine Rückmeldung von n26 diesbezüglich bekommen. Beim zweiten steht eine Vermutung im Vordergrund, ohne dass man auf eine beidseitige Kommunikation zum Thema mit n26 hinweist.
Ist also durchaus unterschiedlich von der Aussage her.
Also im Grunde wahrscheinlich einfach etwas ungeschickt übersetzt.
Und du denkst die Wissen, das alles sicher ist.
Du denkst wahrscheinlich auch, deine Geräte sind sicher.
Sich ist nur eins im Leben, was das ist, weiß jeder selber. Alles andere ist eine Variable.
/= Sich
Sicher*
Ich habe nichts davon gesagt, was ich denke, sondern bin nur auf die Formulierung eingegangen.
Nick, das war aber nicht der Punkt, um den es ging. Es ging um die reine Formulierung.
Gerade von einer reinen Online und Smartphon Bank erwarte ich professionellere Antworten als diese abwiegelnden aus dem letzten Abschnitt. (@ Redaktion: Ihr solltet die Übersetzung noch mal lesen, allein im ersten Satz sind drei Fehler..)
Oh ja, da hat es etwas verrissen. Danke Dir.
Ich persönlich bin ein wirklich zufriedener Kunder von N26. Hatte noch nie Probleme und alles lief Reibungslos.
Bei den ganzen News aus dem letzen Jahr komme ich aber echt ins grübeln ob ich nicht doch mein Konto da wieder schließen sollte. Bislang haben mich die letzen Vorkommnisse abgehalten komplett mit meinem Gehaltskonto zu Wechseln und ich nutze es nur für meine täglichen Einkäufe.
Ich geben dem ganzen noch ein paar Monate/Wochen und wenn die das dann nicht alles in den Griff bekommen dann bin ich da weg. Was mich besonders stört ist dass N26 immer auf die anderen Banken schimpft und Transparenz und Fairness propagiert. Davon war leider in den letzen Monaten nichts zu bemerken.
Das Thema ist einfach das bei N26 alles in den Social Media breitgetreten wird und dann Artikel dazu kommen. News-Seiten wie Gruenderszene, t3n etc berichten bei Fintech Unternehmen natürlich viel mehr als bei großen Banken.
Ich würde sagen, bis auf die massenkündigungen vor paar Monaten, hat jede große Bank ähnliche Probleme. Es bekommt nur keiner so richtig mit.
Fehlerhafte Kommunikation usw. wurde ja nach langem hin und her eingeräumt, des weiteren sind die Kündigung real gewesen.
Auch dass das Problem aktuell (besteht) bestand, ist doch zweifelsfrei – warum hat man aus der Vergangenheit nicht gelernt ist hin und dies in positive PR umgemünzt, nämlich auf Hinweis von … haben wir bis von Dritten nicht genutzt Sicherheitslücke geschlossen und schwubs, wären alle mehr oder weniger zufrieden.
Vielleicht sollten weniger PR-Termin von dem Führungsteam vorgenommen werden, die Umstellung (wirecard >n26) erstmal fehlerfrei abgeschlossen werden und erst dann expandiert.
nein man gibt weiter Gas auf Teufel komm raus … um einen „E..t“ vorzubereiten und die Kunden haben das nachsehen?! Das gab/gibt es in dem konservativen Umfeld normalerweise nicht und ist auch für die Branche nicht förderlich.
Sei froh. Hatte leider wiederholt Probleme, vor allem auch im Ausland (USA, England ..)
Ich mag die App, MoneyBeam etc und wenn es klappt ist es super. Aber wenn mal Probleme sind die nicht mit nem Neustart behoben werden können dann steht man echt dumm da. Schneller / kompetenter Kundensupport Fehlanzeige.
Kam bspw plötzlich nicht mehr an mein Guthaben (in USA) und es dauerte 3 Tage bis zur ersten Antwort und die war nur ein „tut uns Leid“ und keinerlei wirkliche Hilfe -.-
N26 hat übrigens das groß angekündigte 3.1 Update rausgebracht, im Changelog stehen aber nur kleine Verbesserungen.
Die zeitgleich veröffentlichte Android Version hat die Nummer 3.0.6.
Evtl der vorbote für Apple Pay und es darf nur noch nicht drin stehen? ;-)
So langsam gebe ich die Hoffnung auf. Es hieß bei 3.0 schon „Das Update für Apple Pay“
Solche Updates gab es schon öfter. Sogar mit kleinen hints im Changelog. Aber wirklich was getan hat sich nie. Würde mir da nicht zu viel Hoffnung machen.
Hatte selbst Probleme mit N26. Meine Kreditkartendaten wurden im Ausland benutzt, um Geld von meinem Konto abzubuchen. Selbst nach einer neuen Mastercard und neuem Pin, welcher nie benutzt wurde, war es den Angreifern immer noch möglich Geld von meinem Konto abzuheben. Kommentar des Support am Telefon, wie das passieren konnte „Keine Ahnung.“ Bank sofort gewechselt.
Warum meinst du ist die Bank das Problem? Oder bist du wie leider eine Menge von Leuten, die denken, dass sie selbst nie die Ursache sind?
(Z.B. essentielle Mastercarddaten z.B. in Dropbox oder einem anderen Online-Speicher gespeichert für den praktischen Zugriff von vielen Rechnern aus, was aber für diese Betrüger dann auch praktisch ist?)
Vielleicht ist eine verschlüsselte iTAN Liste ja doch das Sicherste, obwohl die Banken das nicht mögen.
Ich finde eine zunehmende Digitalisierung gut, aber nicht um jeden Preis! Deshalb bleibe ich hier eher konservativ und setze auf altbewährte Systeme sowie Bankenmodelle.
Diese ganze „alles umsonst“ und „immer online“ Politik die heutzutage Mode ist finde ich schlichtweg ekelhaft. Aber jeder kann und soll tun was er für richtig hält. Nur darf man sich nicht wundern wenn für eine Leistung nichts bezahlt wird, wie man dann zu einer anderen Bezahlung kommt.
ich finde die zunehmende Digitalisierung als ernste Bedrohung. nicht nur für neue sondern gerade auch für alte unternehmen und vor allem für den einfachen Bürger.
in Wahrheit ist das so, als ob man kinder oder nicht geschäftsfähige mit waffen oder gefährlichen dingen spielen lässt.
es gibt doch kaum jemand, in der it, der eine Ahnung hat was er tut – die paar, die sich auskennen kosten Unsummen und sind begehrt wie götter.
ein Ronaldo bekommt 600.000 euro am TAG – ein it Sicherheitsexperte einer bank verdient wieviel??? sicher nicht einen Bruchteil.
in Wahrheit ist es nur eine frage der zeit, bis uns das alles um die Ohren fliegt und massive angriffe stattfinden. begonnen hat es eh schon, aber das was jetzt ist, ist harmlos im vergleich dazu, wenn es digitale Stromzähler, Heimautomatisierung, Elektroautos, etc. gibt.
sollte das Bargeld abgeschafft werden, dann werden diverse Horrorszenarien, wie sie in filmen skizziert werden definitiv eintreten!!!
Spiegel online gelesen?
nein, was steht dort?
Wir sollten froh sein das es solche Gruppierungen gibt, die prüfen, tricksen und ihre Ergebnisse an die Bank weiterleiten.
Die bösen Jungens/Mädels würden dies für Ihre Zwecke missbrauchen und betrügen.
Zeige mir einer eine Bank, die nie derartige Probleme mit den eigenen Apps hatte.
Fehlanzeige.
Also Danke für deren uneigennützige Arbeit ❗️
Die Bank heißt N26, auch wenn es früher mal anders war. Dies sollte in der Überschrift auch so geschrieben werden ;-)
Gerne möchten wir uns auch als N26 zum Artikel äußern:
Es handelt sich hierbei um ein Forschungsprojekt. Alle Sicherheitslücken, die dabei aufkamen, sind bereits vollständig geschlossen. Das hat auch Vincent Haupert auf seiner Homepage bestätigt. Zu keiner Zeit wurde auf Kundendaten zugegriffen und es ist auch keinem Kunden ein Schaden entstanden.
Mehr Informationen gibt es hier:
https://n26.com/sicherheit-bei-n26/?lang=de
N26 hat es heute auch veröffentlicht: https://n26.com/sicherheit-bei-n26/?lang=de Bin ebenfalls sehr zufrieden vom ersten Tag an.
Ich verstehe die meisten Aussagen hier nicht. Ich bin seit der Einladungszeit dabei und hatte noch nie einen Stress. Das der Support unter aller Sau ist, kann man doch nachvollziehen, es ist Wachstumszeit und jeden zusätzlichen Mitarbeiter musst du auch erstmal brutto reinholen, solange also ein starkes Wachstum herrscht, wird man halt ne gewisse Wartezeit in Kauf nehmen müssen.
Was für einen Support braucht man überhaupt bei einer online bank?
Nix davon ist zeitkritisch und die wirklichen Probleme bekommt man wie Geld verschwunden etc. wird sich sicher klären lasen.
Auch die eingeführten Gebühren sehe ich nicht kritisch, weil sie gerechtfertigt sind. Einzig die unfähige PR Abteilung sollte man mal neu Aufstellen, denn die hat bisher immer versagt, wenn es einen vermeintlichen Klops gab.
Ich war/bin seit der ersten Minute der N26 dabei und ich muss sagen: wo sie noch mit der Wirecard Bank zusammen gearbeitet haben lief alles deutlich besser. Es wurden Buchungen ausgeführt so wie es sein sollte und nicht das alle 3-4 Tage gebucht wird (so wie jetzt). Ich bin enttäuscht von der „N26 Bank“ und rate jedem es nicht als Hauptkonto (Gehaltskonto) wenn euch euer Geld lieb ist.
Ich und sehr viele Kollegen / Bekannte versuchen gerade eine Anhörung durch unsere Anwälte bei der Bundesanstalt für Finanzdienstleistungsaufsicht zu bekommen. (Den genauen Sachverhalt werde und darf ich hier nicht nennen!)
NIEMALS bei diesem Verein… NEVER!