N26: Sicherheitslücke erlaubt Überweisungs-Manipulation
Dieser Artikel ist älter als ein Jahr!
UPDATE: Dieser Artikel wurde am 14.12.2016 um 9:45 um ein Statement von N26 ergänzt.
Das von zwei Österreichern in Berlin gegründete Start-up N26, vormals bekannt als Number 26, hat seit heuer eine Bankenlizenz. Ansonsten war 2016 aber kein gutes Jahr für das FinTech aus Berlin. Nach Sicherheitsproblemen mit den Kreditkarten der jungen Bank kam es zu Massenschließungen von Konten seitens der Bank, dann kehrte Technik-Chef Christian Rebernik dem Fintech den Rücken und auch bei der Trennung vom früheren Partner Wirecard kam es zu Problemen. Jetzt hat der Sicherheitsforscher Vincent Haupert von der Universität Erlangen eine neue Sicherheitslücke in den Systemen von N26 gefunden, wie gründerszene schreibt.
Wie der Fachmann auf dem Jahreskongress des Chaos Computer Clubs (CCC) Ende Dezember in einem Vortrag mit dem Titel "Shut up and take my money" demonstrieren wird, ist die IT-Infrastruktur des Start-ups nicht sicher. Über die App von N26 konnte Haupert Überweisungen manipulieren und ganze Accounts übernehmen, um beliebige Transaktionen zu tätigen. Auf welchem Gerät die App läuft, spielt dabei angeblich keine Rolle. Haupert konnte die Kundendaten einsehen und Transaktionen von Nutzern in Echtzeit manipulieren. Technische Details will der Experte aber erst auf dem CCC-Kongress bekanntgeben. N26 hat die von Haupert gefundenen Schwachstellen inzwischen behoben und betont, dass zu keiner Zeit auf Kundendaten zugegfiffen wurde.
Keine Schäden für Kunden
Das Unternehmen wurde bereits im September über die Schwachstelle informiert. Eine Sprecherin sagte gegenüber gründerszene: „Diesen aufgezeigten Szenarien sind wir bereits nachgegangen. Wir haben mehrere Millionen Transaktionen durchgeführt, und es sind uns bis zum heutigen Zeitpunkt keine Schadensfälle bekannt, auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert.“ Die Kunden müssen sich also laut N26 keine Sorgen machen. "Zu keiner Zeit hat er auf fremde Kundendaten zugegriffen. Unseren Kunden ist dadurch kein Schaden entstanden. Wir sind den aufgezeigten Szenarien gemeinsam nachgegangen und haben alle möglichen Sicherheitslücken bereits geschlossen. Für unsere Kunden besteht daher kein Risiko. Wir sind Vincent Haupert dankbar, dass er uns auf diese möglichen Angriffspunkte aufmerksam gemacht hat und arbeiten nun eng mit ihm zusammen", schreibt N26 in einer Stellungnahme an die futurezone.
N26 will aber doch reagieren und hat angekündigt, Geldpreise für das Auffinden von Schwachstellen aussetzen zu wollen. Haupert kritisiert in seiner Vortragsankündigung, dass gerade junge FinTechs oft mehr auf schickes Design als auf Sicherheit setzen: „In einem Geschäftsfeld, das einst ganz der Sicherheit verschrieben war, erklären Fintechs ein hippes Design und das Benutzererlebnis zur ausschließlichen Priorität“, schreibt Haupert. „Obwohl diese Strategie durch stark steigende Kundenzahlen belohnt wird, offenbart sie auch ein sowohl konzeptionell als auch technisch verqueres Verständnis von Security.“ Haupert hatte schon beim vergangenen CCC-Kongress eine Banken-Sicherheitslücke demonstriert. Er konnte die App der deutschen Sparkasse knacken und so Überweisungen manipulieren, allerdings nur, wenn App und TAN-Generator auf demselben Smartphone installiert waren.
Kommentare