Abo
  • Services:

Tausende Übereinstimmungen in gehackten Dropbox-Accounts

Ein Angreifer müsste dazu zunächst die Login-Daten der Nutzer bekommen. Dies könnte durch eine Spear-Phishing-Attacke durchaus erfolgreich sein. Haupert sagte, dass er in dem Datensatz von 68 Millionen gehackten Dropbox-Accounts rund 33.000 Übereinstimmungen mit N26-Kunden gefunden habe. Der Abgleich mit der API von N26 bereitete Haupert nach eigenen Angaben auch angesichts der enormen getesteten Datenmenge keine Probleme.

Stellenmarkt
  1. MT AG, Frankfurt am Main
  2. BVG Berliner Verkehrsbetriebe, Berlin

Ein größeres Problem aber wäre die Übernahme eines Accounts durch Angreifer. N26 schützt das vom Nutzer hinzugefügte Smartphone mit einem mehrstufigen Prozess dagegen, dass es deregistriert wird. Allerdings hat das Unternehmen hier bei jedem der fünf Schritte Fehler gemacht.

Zunächst muss der Nutzer den Prozess des Unpairing mit einem Klick in den Einstellungen beginnen. Dann wird eine Aufforderung an das verbundene Mailkonto der Nutzer gesendet, einen Bestätigungslink zu klicken. Doch Angreifer bräuchten keinen Zugriff auf den Mailaccount - denn der entsprechende Link wird auch als Get-Response zurückgegeben, wenn der Nutzer den Prozess startet. Ein Zugriff auf den E-Mail-Account ist damit nicht notwendig.

Außerdem wird ein Transfercode benötigt, der vom Nutzer festgelegt wird. Auch dieser lässt sich aber trivial besorgen - denn er kann vom Angreifer geändert werden. Dazu wird nur eine ID gebraucht, die auf der Mastercard von N26 aufgedruckt ist. Auch diese ID taugt nicht als sicherer zweiter Faktor, weil sie ebenfalls über die API ausgegeben wird.

160 Anfragen pro Sekunde

Im letzten Schritt wird noch ein 5-stelliger nummerischer Code benötigt, den Nutzer per SMS zugesendet bekommen. Wiederum ist kein Zugriff auf einen zweiten Faktor notwendig, weil die Nummer innerhalb weniger Minuten per Bruteforce-Angriff ermittelt werden kann. Auch hier schlug offenbar kein Sicherheitssystem an, Haupert konnte nach eigenen Angaben mit bis zu 160 Anfragen pro Sekunde arbeiten.

Nach diesem Prozess kann ein neues Smartphone registriert werden, um erfolgreiche Transaktionen durchzuführen. Um die eigenen Spuren zu verschleiern, sollten Angreifer aber noch die Mailadresse ändern, weil der eigentliche Nutzer sonst E-Mails über die Umregistrierung der Smartphones bekommt. Dies geht über die Hotline von N26, die mittels Knowledge-Based-Authentication verschiedene Merkmale abfragt - unter anderem die Mastercard ID, aber auch den Geburtsort der Nutzer. Doch selbst der Geburtsort wird von der API verraten. Somit können Angreifer zahlreiche Informationen ändern, die nicht über die App geändert werden können - etwa den Namen oder die Mailadresse.

Auch, wenn nur wenig Geld auf einem Konto vorhanden ist, können Angreifer unter Umständen viel Geld erbeuten, denn N26 bietet einen automatischen Überziehungsrahmen zwischen 50 und 2.000 Euro an.

N26 startet Bug-Bounty-Programm

Nach Angaben von Haupert legt N26 bislang zu wenig Wert auf gute IT-Security. Von mehr als 40 ausgeschriebenen offenen Stellen würde sich keine schwerpunktmäßig mit dem Bereich Security beschäftigten.

Das Unternehmen will dem Sicherheitsproblem wohl vor allem durch Hilfe von außen begegnen. Wohl nicht ganz zufällig versendete es am Dienstag eine Pressemitteilung, die den Start eines Bug-Bounty-Programms ankündigt. Bei dem Programm handelt es sich offenbar um ein nicht öffentliches Programm auf Hackerone. Wer daran teilnehmen will, soll sich mit seinem Hackerone-Account bei N26 melden. Über die Höhe der Belohnungen gibt es bislang keine Angaben. Im kommenden Sommersemester will das Unternehmen außerdem zwei Stipendien über 5.000 Euro an Doktoranden aus dem Bereich IT-Sicherheit auszahlen.

 Fintech: Die geschwätzige API von N26
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. HP Omen 17.3" FHD mit i7-8750H/8 GB/128 GB + 1 TB/GTX 1050 Ti 4 GB für 1.049€ statt 1...
  2. (u. a. Creative Sound BlasterX Katana für 189,90€ + Versand statt 229,88€ im Vergleich und...
  3. (u. a. WD Elements Desktop 4 TB für 89,99€ statt 103,28€ im Vergleich und WD My Cloud EX2...
  4. 295,99€ (Vergleichspreis ca. 335€) - Aktuell günstigste 2-TB-SSD!

NobodZ 29. Dez 2016

Klar, ein toter Wachhund ist auch Abschreckung. ;)

NobodZ 29. Dez 2016

... als Dinosaurier Banken. Banking is necessary, Banks are not Oder...

jdf 29. Dez 2016

Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete...

jdf 29. Dez 2016

Wobei man noch hinzufügen sollte, dass Geld abheben nach dem 5. mal satte 2¤ pro...

x00x 28. Dez 2016

Ich empfehle jeden den Vortrag anzusehen: https://media.ccc.de/v/33c3-7969...


Folgen Sie uns
       


Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018)

Das Lenovo Thinkpad X1 Extreme wird das neue Top-Notebook des Unternehmens. Wir haben es samt Docking-Station auf der Ifa 2018 ausprobiert.

Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018) Video aufrufen
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

    •  /