Abo
  • Services:
Anzeige
Bei N26 gab es Probleme mit der Sicherheit.
Bei N26 gab es Probleme mit der Sicherheit. (Bild: N26)

Tausende Übereinstimmungen in gehackten Dropbox-Accounts

Ein Angreifer müsste dazu zunächst die Login-Daten der Nutzer bekommen. Dies könnte durch eine Spear-Phishing-Attacke durchaus erfolgreich sein. Haupert sagte, dass er in dem Datensatz von 68 Millionen gehackten Dropbox-Accounts rund 33.000 Übereinstimmungen mit N26-Kunden gefunden habe. Der Abgleich mit der API von N26 bereitete Haupert nach eigenen Angaben auch angesichts der enormen getesteten Datenmenge keine Probleme.

Anzeige

Ein größeres Problem aber wäre die Übernahme eines Accounts durch Angreifer. N26 schützt das vom Nutzer hinzugefügte Smartphone mit einem mehrstufigen Prozess dagegen, dass es deregistriert wird. Allerdings hat das Unternehmen hier bei jedem der fünf Schritte Fehler gemacht.

Zunächst muss der Nutzer den Prozess des Unpairing mit einem Klick in den Einstellungen beginnen. Dann wird eine Aufforderung an das verbundene Mailkonto der Nutzer gesendet, einen Bestätigungslink zu klicken. Doch Angreifer bräuchten keinen Zugriff auf den Mailaccount - denn der entsprechende Link wird auch als Get-Response zurückgegeben, wenn der Nutzer den Prozess startet. Ein Zugriff auf den E-Mail-Account ist damit nicht notwendig.

Außerdem wird ein Transfercode benötigt, der vom Nutzer festgelegt wird. Auch dieser lässt sich aber trivial besorgen - denn er kann vom Angreifer geändert werden. Dazu wird nur eine ID gebraucht, die auf der Mastercard von N26 aufgedruckt ist. Auch diese ID taugt nicht als sicherer zweiter Faktor, weil sie ebenfalls über die API ausgegeben wird.

160 Anfragen pro Sekunde

Im letzten Schritt wird noch ein 5-stelliger nummerischer Code benötigt, den Nutzer per SMS zugesendet bekommen. Wiederum ist kein Zugriff auf einen zweiten Faktor notwendig, weil die Nummer innerhalb weniger Minuten per Bruteforce-Angriff ermittelt werden kann. Auch hier schlug offenbar kein Sicherheitssystem an, Haupert konnte nach eigenen Angaben mit bis zu 160 Anfragen pro Sekunde arbeiten.

Nach diesem Prozess kann ein neues Smartphone registriert werden, um erfolgreiche Transaktionen durchzuführen. Um die eigenen Spuren zu verschleiern, sollten Angreifer aber noch die Mailadresse ändern, weil der eigentliche Nutzer sonst E-Mails über die Umregistrierung der Smartphones bekommt. Dies geht über die Hotline von N26, die mittels Knowledge-Based-Authentication verschiedene Merkmale abfragt - unter anderem die Mastercard ID, aber auch den Geburtsort der Nutzer. Doch selbst der Geburtsort wird von der API verraten. Somit können Angreifer zahlreiche Informationen ändern, die nicht über die App geändert werden können - etwa den Namen oder die Mailadresse.

Auch, wenn nur wenig Geld auf einem Konto vorhanden ist, können Angreifer unter Umständen viel Geld erbeuten, denn N26 bietet einen automatischen Überziehungsrahmen zwischen 50 und 2.000 Euro an.

N26 startet Bug-Bounty-Programm

Nach Angaben von Haupert legt N26 bislang zu wenig Wert auf gute IT-Security. Von mehr als 40 ausgeschriebenen offenen Stellen würde sich keine schwerpunktmäßig mit dem Bereich Security beschäftigten.

Das Unternehmen will dem Sicherheitsproblem wohl vor allem durch Hilfe von außen begegnen. Wohl nicht ganz zufällig versendete es am Dienstag eine Pressemitteilung, die den Start eines Bug-Bounty-Programms ankündigt. Bei dem Programm handelt es sich offenbar um ein nicht öffentliches Programm auf Hackerone. Wer daran teilnehmen will, soll sich mit seinem Hackerone-Account bei N26 melden. Über die Höhe der Belohnungen gibt es bislang keine Angaben. Im kommenden Sommersemester will das Unternehmen außerdem zwei Stipendien über 5.000 Euro an Doktoranden aus dem Bereich IT-Sicherheit auszahlen.

 Fintech: Die geschwätzige API von N26

eye home zur Startseite
NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

Themenstart

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

Themenstart

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

Themenstart

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

Themenstart

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Continental AG, Regensburg
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg
  4. THOMAS SABO GmbH & Co. KG, Lauf / Pegnitz


Anzeige
Spiele-Angebote
  1. 22,99€
  2. 6,99€
  3. 27,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Konkurrenz zu Amazon Echo

    Hologramm-Barbie soll digitale Assistentin werden

  2. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  3. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  4. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  5. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  6. SpaceX

    Trägerrakete Falcon 9 erfolgreich gestartet

  7. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab

  8. FTTH per NG-PON2

    10 GBit/s für Endnutzer in Neuseeland erfolgreich getestet

  9. Smartphones

    FCC-Chef fordert Aktivierung ungenutzter UKW-Radios

  10. Die Woche im Video

    Die Selbstzerstörungssequenz ist aktiviert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Everywhere: Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
Everywhere
Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
  1. Rockstar Games Weitere 5 Millionen verkaufte GTA-5-Spiele in drei Monaten
  2. Leslie Benzies GTA-Chefentwickler arbeitet an neuem Projekt
  3. Rockstar Games Spieleklassiker Bully für Mobile-Geräte erhältlich

  1. Angst vor FB? Wieso?

    Sharra | 19:37

  2. Re: Windows hat Skalierung immer noch nicht im Griff

    Desertdelphin | 19:36

  3. Re: hmmm

    Prinzeumel | 19:27

  4. was ist schlimmer

    Prinzeumel | 19:22

  5. Re: Toll

    sneaker | 19:20


  1. 14:00

  2. 12:11

  3. 11:29

  4. 11:09

  5. 10:47

  6. 18:28

  7. 14:58

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel