Bank-Start-up N26: Mehrere Schwachstellen erlaubten Zugriff auf Konten

28. Dezember 2016, 18:15
23 Postings

Am 33C3 präsentiert – Schwachstellen inzwischen behoben, keine Schadensfälle bekannt

Der Sicherheitsforscher Vincent Haupert von der Uni Erlangen hat in der App des Online-Banking-Start-ups N26 Schwachstellen entdeckt, die den Zugriff auf fremde Konten ermöglichten. Auf dem 33. Chaos Communication Congress (33C3) in Hamburg zeigte er, wie einfach Hacker Überweisungen hätten durchführen können. Die Schwachstellen wurden von dem Unternehmen mittlerweile geschlossen.

Sicherheitsmaßnahmen umgangen

N26-Nutzer benötigen für den Zugriff auf ihr Konto und Transaktionen eine E-Mail-Adresse, ein Passwort und einen vierstelliger PIN-Code. Das Konto muss mit einem Handy verknüpft sein. Bestätigt wird das mit einem via SMS verschickten Token. Über Schwachstellen bei der Nutzerauthentifizierung und der Programmierschnittstelle konnte Haupert die Sicherheitsmaßnahmen zusammen mit zwei Universitätskollegen jedoch aushebeln, berichtet "Heise".

Laut Haupert waren die Apps für iOS und Android für eine Man-in-the-Middle-Attacke anfällig. Das Zertifikat für die verschlüsselte Datenübertragung über HTTPS war demnach nicht richtig implementiert. Zudem sei es möglich gewesen, Zugriff auf ein fremdes Konto durch die Passwort-Zurücksetzen-Funktion und einen Phishing-Angriff zu erhalten.

Nutzer können bei N26 ihre Kontakte mit E-Mail-Adressen und Telefonnummern hochladen, welche das Unternehmen unverschlüsselt gespeichert habe. Mit den Login-Daten aus früheren Hacks – in diesem Fall griff man auf Leaks aus dem Dropbox-Angriff zurück – konnten die Sicherheitsforscher 33.000 N26-Nutzer identifizieren. Kriminelle hätten diese Informationen für gezielte Phishing-Angriffe per Mail ausnutzen können. Tatsächlich ausprobiert habe Haupert das jedoch aus rechtlichen Gründen nicht.

N26 will Sicherheit erhöhen

Über Apples Sprachfunktion Siri konnten die Sicherheitsforscher 200 unsignierte Transaktionen von Kleinbeträgen durchführen. Eigentlich sollten die Sicherheitssysteme von N26 solche verdächtigen Aktionen erkennen. Haupert fand noch weitere Möglichkeiten, Transaktionen durchzuführen, unter anderem mittels Brute-Force-Angriffen, die er in Hamburg demonstrierte.

Die Schwachstellen wurden N26 am 25. September gemeldet und laut dem Unternehmen bis zum 13. Dezember behoben. Das Unternehmen bedankte sich bei den Sicherheitsforschern und gab bekannt, die IT-Sicherheit stärken zu wollen. Schadensfälle seien keine bekannt. Außerdem sollen Sicherheitslücken in Zukunft über ein Bug-Bounty-Programm gefunden werden. (red, 28.12.2016)

  • Ein Sicherheitsforscher fand mehrere Schwachstellen beim Online-Banking-Start-up N26. Alle wurden inzwischen behoben.
    foto: n26

    Ein Sicherheitsforscher fand mehrere Schwachstellen beim Online-Banking-Start-up N26. Alle wurden inzwischen behoben.

Share if you care.