Categories: Sicherheit

33C3: Kritische Sicherheitslücken beim Finanz-Start-up N26

Der Erlangener Sicherheitsforscher Vincent Haupert hat auf dem 33. Chaos Communication Congress (33C3) gravierende Sicherheitsmängel bei Finanz-Start-ups angeprangert, die als Fintechs bekannt sind. Er zeigte am Beispiel des europaweit tätigen N26 – zuvor als Number 26 bekannt – die relativ einfache Ausnutzung der Schwachstellen mit potenziell gravierenden Folgen auf.

Unabhängig vom benutzten Gerät gelang es demnach, an Kundendaten zu kommen, Transaktionen in Echtzeit zu manipulieren, Konten zu übernehmen und schließlich willkürliche Transaktionen zu veranlassen – selbst ohne vorhandenes Guthaben. Bei CCC-TV ist die Videoaufzeichnung des Vortrags zur „Roten Pille von N26-Sicherheit“ abrufbar.

Haupert informierte das Berliner Start-up N26 am 25. September 2016 über die Sicherheitslücken und stellte dem Finanzdienstleister eine Frist, diese bis zu seinem Vortrag zu beheben. Das ist offenbar geschehen, und das Unternehmen soll sich dabei auch ausgesprochen professionell und freundlich verhalten haben. Der Sicherheitsforscher stellte den Kontakt allerdings vorsichtshalber auch über den bekannten Chaos Computer Club her, da auf Schwachstellen angesprochene Unternehmen manchmal auch mit der Rechtsabteilung reagieren, statt eine hoffentlich vorhandene Sicherheitsabteilung darauf anzusetzen.

Grundsätzlich wirft Haupert nach dieser Erfahrung Fintechs vor, dass sie sich vor allem auf hippes Design und eine außergewöhnliche Nutzererfahrung kaprizieren. Das sei oft ihre einzige Priorität in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war. Das bringe den Fintech-Unternehmen Vorteile im direkten Wettbewerb mit lange etablierten Banken, denen sie mit ihrer konsequenten Mobile-First-Strategie Kunden abwerben können.

Der Sicherheitsforscher sieht dahinter aber auch ein grundfalsches Verständnis von Sicherheit. „Die Fintechs spielen jedoch eine wichtige Rolle im voranschreitenden Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen“, erklärt er. Damit erfolge der nächste Schritt im Verfallsprozess der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begann. „Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.“

Loading ...

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim letztjährigen CCC-Kongress nahm er sich die damals jüngste Version der PushTAN-App der Sparkasse vor und zeigte auf, wie sie sich erneut aushebeln ließ. Dieses Verfahren kritisierte er als von Grund auf anfällig.

N26 hat inzwischen auch seine Kunden auf die Sicherheitsprobleme angesprochen, stellt diese jedoch als weit weniger dramatisch dar. In einem Blogeintrag ist von „eventuellen Sicherheitslücken“ die Rede, die inzwischen vollständig geschlossen seien. Bis heute seien keine Schadensfälle durch den „theoretischen Zugriff“ bekannt. „Als N26-Kunden müsst ihr nichts weiteres machen, als eure Apps up to date halten“, heißt es beruhigend. Immerhin hat das Start-up angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.

Bernd Kling

Recent Posts

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

15 Stunden ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

16 Stunden ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

1 Tag ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

2 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

2 Tagen ago

Microsoft: Teams überschreitet Marke von 270 Millionen monatlich aktiven Nutzern

Das ist ein Plus von 20 Millionen Nutzern im Vergleich zum Juli 2022. Auch die…

2 Tagen ago