Abo
  • IT-Karriere:

Tausende Übereinstimmungen in gehackten Dropbox-Accounts

Ein Angreifer müsste dazu zunächst die Login-Daten der Nutzer bekommen. Dies könnte durch eine Spear-Phishing-Attacke durchaus erfolgreich sein. Haupert sagte, dass er in dem Datensatz von 68 Millionen gehackten Dropbox-Accounts rund 33.000 Übereinstimmungen mit N26-Kunden gefunden habe. Der Abgleich mit der API von N26 bereitete Haupert nach eigenen Angaben auch angesichts der enormen getesteten Datenmenge keine Probleme.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Sanacorp Pharmahandel GmbH, Planegg bei München

Ein größeres Problem aber wäre die Übernahme eines Accounts durch Angreifer. N26 schützt das vom Nutzer hinzugefügte Smartphone mit einem mehrstufigen Prozess dagegen, dass es deregistriert wird. Allerdings hat das Unternehmen hier bei jedem der fünf Schritte Fehler gemacht.

Zunächst muss der Nutzer den Prozess des Unpairing mit einem Klick in den Einstellungen beginnen. Dann wird eine Aufforderung an das verbundene Mailkonto der Nutzer gesendet, einen Bestätigungslink zu klicken. Doch Angreifer bräuchten keinen Zugriff auf den Mailaccount - denn der entsprechende Link wird auch als Get-Response zurückgegeben, wenn der Nutzer den Prozess startet. Ein Zugriff auf den E-Mail-Account ist damit nicht notwendig.

Außerdem wird ein Transfercode benötigt, der vom Nutzer festgelegt wird. Auch dieser lässt sich aber trivial besorgen - denn er kann vom Angreifer geändert werden. Dazu wird nur eine ID gebraucht, die auf der Mastercard von N26 aufgedruckt ist. Auch diese ID taugt nicht als sicherer zweiter Faktor, weil sie ebenfalls über die API ausgegeben wird.

160 Anfragen pro Sekunde

Im letzten Schritt wird noch ein 5-stelliger nummerischer Code benötigt, den Nutzer per SMS zugesendet bekommen. Wiederum ist kein Zugriff auf einen zweiten Faktor notwendig, weil die Nummer innerhalb weniger Minuten per Bruteforce-Angriff ermittelt werden kann. Auch hier schlug offenbar kein Sicherheitssystem an, Haupert konnte nach eigenen Angaben mit bis zu 160 Anfragen pro Sekunde arbeiten.

Nach diesem Prozess kann ein neues Smartphone registriert werden, um erfolgreiche Transaktionen durchzuführen. Um die eigenen Spuren zu verschleiern, sollten Angreifer aber noch die Mailadresse ändern, weil der eigentliche Nutzer sonst E-Mails über die Umregistrierung der Smartphones bekommt. Dies geht über die Hotline von N26, die mittels Knowledge-Based-Authentication verschiedene Merkmale abfragt - unter anderem die Mastercard ID, aber auch den Geburtsort der Nutzer. Doch selbst der Geburtsort wird von der API verraten. Somit können Angreifer zahlreiche Informationen ändern, die nicht über die App geändert werden können - etwa den Namen oder die Mailadresse.

Auch, wenn nur wenig Geld auf einem Konto vorhanden ist, können Angreifer unter Umständen viel Geld erbeuten, denn N26 bietet einen automatischen Überziehungsrahmen zwischen 50 und 2.000 Euro an.

N26 startet Bug-Bounty-Programm

Nach Angaben von Haupert legt N26 bislang zu wenig Wert auf gute IT-Security. Von mehr als 40 ausgeschriebenen offenen Stellen würde sich keine schwerpunktmäßig mit dem Bereich Security beschäftigten.

Das Unternehmen will dem Sicherheitsproblem wohl vor allem durch Hilfe von außen begegnen. Wohl nicht ganz zufällig versendete es am Dienstag eine Pressemitteilung, die den Start eines Bug-Bounty-Programms ankündigt. Bei dem Programm handelt es sich offenbar um ein nicht öffentliches Programm auf Hackerone. Wer daran teilnehmen will, soll sich mit seinem Hackerone-Account bei N26 melden. Über die Höhe der Belohnungen gibt es bislang keine Angaben. Im kommenden Sommersemester will das Unternehmen außerdem zwei Stipendien über 5.000 Euro an Doktoranden aus dem Bereich IT-Sicherheit auszahlen.

 Fintech: Die geschwätzige API von N26
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-79%) 12,50€
  2. 16,99€
  3. 2,80€
  4. 4,19€

NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...


Folgen Sie uns
       


Snapdragon 850 - ARM64 vs Win32

Wir vergleichen native ARM64-Anwendungen mit ihren emulierten x86-Win32-Pendants unter Windows 10 on ARM.

Snapdragon 850 - ARM64 vs Win32 Video aufrufen
Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  2. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
    Galaxy Fold im Hands on
    Samsung hat sein faltbares Smartphone gerettet

    Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
    Ein Hands on von Tobias Költzsch

    1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
    2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
    3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

      •  /