Abo
  • Services:
Anzeige
Bei N26 gab es Probleme mit der Sicherheit.
Bei N26 gab es Probleme mit der Sicherheit. (Bild: N26)

Tausende Übereinstimmungen in gehackten Dropbox-Accounts

Ein Angreifer müsste dazu zunächst die Login-Daten der Nutzer bekommen. Dies könnte durch eine Spear-Phishing-Attacke durchaus erfolgreich sein. Haupert sagte, dass er in dem Datensatz von 68 Millionen gehackten Dropbox-Accounts rund 33.000 Übereinstimmungen mit N26-Kunden gefunden habe. Der Abgleich mit der API von N26 bereitete Haupert nach eigenen Angaben auch angesichts der enormen getesteten Datenmenge keine Probleme.

Anzeige

Ein größeres Problem aber wäre die Übernahme eines Accounts durch Angreifer. N26 schützt das vom Nutzer hinzugefügte Smartphone mit einem mehrstufigen Prozess dagegen, dass es deregistriert wird. Allerdings hat das Unternehmen hier bei jedem der fünf Schritte Fehler gemacht.

Zunächst muss der Nutzer den Prozess des Unpairing mit einem Klick in den Einstellungen beginnen. Dann wird eine Aufforderung an das verbundene Mailkonto der Nutzer gesendet, einen Bestätigungslink zu klicken. Doch Angreifer bräuchten keinen Zugriff auf den Mailaccount - denn der entsprechende Link wird auch als Get-Response zurückgegeben, wenn der Nutzer den Prozess startet. Ein Zugriff auf den E-Mail-Account ist damit nicht notwendig.

Außerdem wird ein Transfercode benötigt, der vom Nutzer festgelegt wird. Auch dieser lässt sich aber trivial besorgen - denn er kann vom Angreifer geändert werden. Dazu wird nur eine ID gebraucht, die auf der Mastercard von N26 aufgedruckt ist. Auch diese ID taugt nicht als sicherer zweiter Faktor, weil sie ebenfalls über die API ausgegeben wird.

160 Anfragen pro Sekunde

Im letzten Schritt wird noch ein 5-stelliger nummerischer Code benötigt, den Nutzer per SMS zugesendet bekommen. Wiederum ist kein Zugriff auf einen zweiten Faktor notwendig, weil die Nummer innerhalb weniger Minuten per Bruteforce-Angriff ermittelt werden kann. Auch hier schlug offenbar kein Sicherheitssystem an, Haupert konnte nach eigenen Angaben mit bis zu 160 Anfragen pro Sekunde arbeiten.

Nach diesem Prozess kann ein neues Smartphone registriert werden, um erfolgreiche Transaktionen durchzuführen. Um die eigenen Spuren zu verschleiern, sollten Angreifer aber noch die Mailadresse ändern, weil der eigentliche Nutzer sonst E-Mails über die Umregistrierung der Smartphones bekommt. Dies geht über die Hotline von N26, die mittels Knowledge-Based-Authentication verschiedene Merkmale abfragt - unter anderem die Mastercard ID, aber auch den Geburtsort der Nutzer. Doch selbst der Geburtsort wird von der API verraten. Somit können Angreifer zahlreiche Informationen ändern, die nicht über die App geändert werden können - etwa den Namen oder die Mailadresse.

Auch, wenn nur wenig Geld auf einem Konto vorhanden ist, können Angreifer unter Umständen viel Geld erbeuten, denn N26 bietet einen automatischen Überziehungsrahmen zwischen 50 und 2.000 Euro an.

N26 startet Bug-Bounty-Programm

Nach Angaben von Haupert legt N26 bislang zu wenig Wert auf gute IT-Security. Von mehr als 40 ausgeschriebenen offenen Stellen würde sich keine schwerpunktmäßig mit dem Bereich Security beschäftigten.

Das Unternehmen will dem Sicherheitsproblem wohl vor allem durch Hilfe von außen begegnen. Wohl nicht ganz zufällig versendete es am Dienstag eine Pressemitteilung, die den Start eines Bug-Bounty-Programms ankündigt. Bei dem Programm handelt es sich offenbar um ein nicht öffentliches Programm auf Hackerone. Wer daran teilnehmen will, soll sich mit seinem Hackerone-Account bei N26 melden. Über die Höhe der Belohnungen gibt es bislang keine Angaben. Im kommenden Sommersemester will das Unternehmen außerdem zwei Stipendien über 5.000 Euro an Doktoranden aus dem Bereich IT-Sicherheit auszahlen.

 Fintech: Die geschwätzige API von N26

eye home zur Startseite
NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...



Anzeige

Stellenmarkt
  1. Josefs-Gesellschaft gGmbH, Köln
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München, Stuttgart
  4. SQS Software Quality Systems AG, Frankfurt, Köln, München, deutschlandweit


Anzeige
Hardware-Angebote
  1. 193,02€

Folgen Sie uns
       


  1. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  2. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  3. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  4. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  5. Armatix

    Smart Gun lässt sich mit Magneten hacken

  6. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  7. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  8. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  9. Quantengatter

    Die Bauteile des Quantencomputers

  10. Microsoft gibt Entwarnung

    MS Paint bleibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

  1. Re: Genau das passiert hier bei mir auch

    Faksimile | 18:35

  2. Re: Kapier ich nicht wieso Bayern ?

    daarkside | 18:33

  3. Re: Nur für Neukunden

    johnripper | 18:32

  4. Re: Über den Preis antworten!

    Genie | 18:32

  5. Re: Kreis Uelzen kann ich bestätigen.

    Faksimile | 18:30


  1. 18:42

  2. 15:46

  3. 15:02

  4. 14:09

  5. 13:37

  6. 13:26

  7. 12:26

  8. 12:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel