Abo
  • Services:
Anzeige
Bei N26 gab es Probleme mit der Sicherheit.
Bei N26 gab es Probleme mit der Sicherheit. (Bild: N26)

Tausende Übereinstimmungen in gehackten Dropbox-Accounts

Ein Angreifer müsste dazu zunächst die Login-Daten der Nutzer bekommen. Dies könnte durch eine Spear-Phishing-Attacke durchaus erfolgreich sein. Haupert sagte, dass er in dem Datensatz von 68 Millionen gehackten Dropbox-Accounts rund 33.000 Übereinstimmungen mit N26-Kunden gefunden habe. Der Abgleich mit der API von N26 bereitete Haupert nach eigenen Angaben auch angesichts der enormen getesteten Datenmenge keine Probleme.

Anzeige

Ein größeres Problem aber wäre die Übernahme eines Accounts durch Angreifer. N26 schützt das vom Nutzer hinzugefügte Smartphone mit einem mehrstufigen Prozess dagegen, dass es deregistriert wird. Allerdings hat das Unternehmen hier bei jedem der fünf Schritte Fehler gemacht.

Zunächst muss der Nutzer den Prozess des Unpairing mit einem Klick in den Einstellungen beginnen. Dann wird eine Aufforderung an das verbundene Mailkonto der Nutzer gesendet, einen Bestätigungslink zu klicken. Doch Angreifer bräuchten keinen Zugriff auf den Mailaccount - denn der entsprechende Link wird auch als Get-Response zurückgegeben, wenn der Nutzer den Prozess startet. Ein Zugriff auf den E-Mail-Account ist damit nicht notwendig.

Außerdem wird ein Transfercode benötigt, der vom Nutzer festgelegt wird. Auch dieser lässt sich aber trivial besorgen - denn er kann vom Angreifer geändert werden. Dazu wird nur eine ID gebraucht, die auf der Mastercard von N26 aufgedruckt ist. Auch diese ID taugt nicht als sicherer zweiter Faktor, weil sie ebenfalls über die API ausgegeben wird.

160 Anfragen pro Sekunde

Im letzten Schritt wird noch ein 5-stelliger nummerischer Code benötigt, den Nutzer per SMS zugesendet bekommen. Wiederum ist kein Zugriff auf einen zweiten Faktor notwendig, weil die Nummer innerhalb weniger Minuten per Bruteforce-Angriff ermittelt werden kann. Auch hier schlug offenbar kein Sicherheitssystem an, Haupert konnte nach eigenen Angaben mit bis zu 160 Anfragen pro Sekunde arbeiten.

Nach diesem Prozess kann ein neues Smartphone registriert werden, um erfolgreiche Transaktionen durchzuführen. Um die eigenen Spuren zu verschleiern, sollten Angreifer aber noch die Mailadresse ändern, weil der eigentliche Nutzer sonst E-Mails über die Umregistrierung der Smartphones bekommt. Dies geht über die Hotline von N26, die mittels Knowledge-Based-Authentication verschiedene Merkmale abfragt - unter anderem die Mastercard ID, aber auch den Geburtsort der Nutzer. Doch selbst der Geburtsort wird von der API verraten. Somit können Angreifer zahlreiche Informationen ändern, die nicht über die App geändert werden können - etwa den Namen oder die Mailadresse.

Auch, wenn nur wenig Geld auf einem Konto vorhanden ist, können Angreifer unter Umständen viel Geld erbeuten, denn N26 bietet einen automatischen Überziehungsrahmen zwischen 50 und 2.000 Euro an.

N26 startet Bug-Bounty-Programm

Nach Angaben von Haupert legt N26 bislang zu wenig Wert auf gute IT-Security. Von mehr als 40 ausgeschriebenen offenen Stellen würde sich keine schwerpunktmäßig mit dem Bereich Security beschäftigten.

Das Unternehmen will dem Sicherheitsproblem wohl vor allem durch Hilfe von außen begegnen. Wohl nicht ganz zufällig versendete es am Dienstag eine Pressemitteilung, die den Start eines Bug-Bounty-Programms ankündigt. Bei dem Programm handelt es sich offenbar um ein nicht öffentliches Programm auf Hackerone. Wer daran teilnehmen will, soll sich mit seinem Hackerone-Account bei N26 melden. Über die Höhe der Belohnungen gibt es bislang keine Angaben. Im kommenden Sommersemester will das Unternehmen außerdem zwei Stipendien über 5.000 Euro an Doktoranden aus dem Bereich IT-Sicherheit auszahlen.

 Fintech: Die geschwätzige API von N26

eye home zur Startseite
NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen
  2. Universität Osnabrück, Osnabrück
  3. Schlemmer Holding GmbH, Poing bei München
  4. Daimler AG, Böblingen


Anzeige
Hardware-Angebote
  1. 274,90€ + 3,99€ Versand
  2. 699,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

P10 und iPhone im Porträttest: Huawei machts besser als Apple
P10 und iPhone im Porträttest
Huawei machts besser als Apple
  1. Weilheim Huawei startet eigene Produktion in Deutschland
  2. AgilePOL Huawei sieht FTTH als "die Zukunft für Netzbetreiber"
  3. Smartphone Huaweis P10 Lite kommt für 350 Euro

Tuxedo Book XC1507 v2 im Test: Linux ist nur einmal besser
Tuxedo Book XC1507 v2 im Test
Linux ist nur einmal besser
  1. Gaming-Notebook Razer aktualisiert Blade 14 mit Kaby Lake und 4K-UHD
  2. MSI GS63VR und Gigabyte Aero 14 im Test Entscheidend ist der Akku

  1. Re: Vieleicht einfach mal nicht Raubkopieren...

    Auspuffanlage | 06:51

  2. Re: Statistik wieder einmal verdreht

    Discept | 06:49

  3. das doch wieder typisch

    tonsen | 06:46

  4. Re: Beschwert ihr euch?

    HorkheimerAnders | 06:45

  5. Re: Nonsense!

    longthinker | 06:43


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel