In der N26-App des FinTech aus Berlin hat der IT-Sicherheitsexperte Vincent Haupert gravierende Sicherheitslücken aufgedeckt. Haupert wird über die Lücken auf dem 33. Chaos Communication Congress (33c3) am 27. Dezember 2016 ausführlich berichten. Gefahr besteht für die Kunden von N26 zwischenzeitlich keine mehr.
Dem IT-Sicherheitsexperten ist es gelungen, über die mobile N26-App Überweisungen zu manipulieren, ganze Benutzerkonten zu übernehmen, damit alle möglichen Transaktionen auszuführen und das unabhängig vom verwendeten Endgerät.
N26: Banking-App hatte angeblich „massive“ Sicherheitslücken
Vincent Haupert war zudem in der Lage, in Echtzeit Transaktionen einzusehen und hatte Zugriff auf Kundendaten. Auch konnten beliebige Überweisungen selbst ohne ausreichende Deckung auf den Kundenkonten ausgeführt werden.
… we succeeded independently from the used device to leak customer data, manipulate transactions, and to entirely take over accounts to ultimately issue arbitrary transactions—even without credit.
Die entdeckten Sicherheitslücken hat Vincent Haupert schon am 25. September an N26 gemeldet. Wann genau ein Patch erfolgte, ist unbekannt. Das Unternehmen informierte die Kunden nicht über die Sicherheitslücke, da kein Kunde zu Schaden gekommen ist. Der Sicherheitsexperte äußert sich, dass zum 13. Dezember 2016 keine der ihm bekannten Lücken mehr bestehen. Somit wird die Diskussion der Sicherheitslücken auf dem 33c3 N26-Kunden nicht gefährden.
Persönliche Meinung
Startups und FinTechs revolutionieren das Banking und gehen mit modernen Apps und vorbildlicher Benutzerfreundlichkeit auf Kundenfang. Vincent Haupert behauptet, dass diese Unternehmen einen falschen Gedanken bezüglich Sicherheit haben, da Wachstum im Vordergrund steht.
Dies als reines Problem der FinTechs und Startups zu bezeichnen, halte ich persönlich für falsch. Auch große etablierte Banken haben dieses Jahr zu genüge bewiesen, dass sie ihre eigenen IT-Systeme nicht vollständig im Griff haben. So konnten Kunden bei der Commerzbank-Tochter Comdirect Kontodaten von Fremden einsehen. Ganz ohne Hack. Auch die Deutsche Bank hatte dieses Jahr schon mehr als eine Panne, beispielsweise die fehlerhafte Anzeige von 13 Millionen Buchungen, so dass einige Kunden plötzlich im Minus standen und kein Geld mehr bekommen haben.
Einen ausführlichen N26 Testbericht findet ihr im verlinkten Beitrag. Die Zeichen bei der jungen Bank stehen auf Wachstum. Trotzdem muss dabei gewährleistet werden, dass Kundengelder sicher sind.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.