33c3: Sicherheitslücken bei der N26 Bank
Dieser Artikel ist bereits über 3 Jahre alt. Die Inhalte sind wahrscheinlich bereits überholt und nicht mehr aktuell.
Was Mitte Dezember angekündigt wurde, wurde heute in einem äußerst interessanten, aber auch sehr erschreckenden Talk beim 33c3 konkretisiert: die N26 Bank (zuvor NUMBER26) hat(te) massive Sicherheitslücken in ihrer Banking-App, bzw. -API.
Als ein früher Kunde der damals noch nicht eigenständigen Bank bin ich sehr von den gravierenden und zumeist sehr einfach zu reparierenden Lücken schockiert.
Die angeblich geheime Mastercard-ID wird einfach als Antwort zu anderen Anfragen mitgesendet und Zahlungen lassen sich ohne Limit über einen unverified
genannten Endpoint absenden.
Auch Brute Force Angriffe auf manche Endpoints sind, bzw. waren möglich.
Mittlerweile sollen die Lücken geschlossen sein, allerdings war eine Live-Demo beim Talk zum Entknpüfen des Smartphones mit dem Konto weiterhin erfolgreich.
Den Vortrag kann ich interessierten Lesern und (vielleicht bald ehemaligen) Kunden der Bank nur empfehlen. Es bleibt zu hoffen, dass das Unternehmen schnell aus den Fehlern lernt und ab sofort deutlich stärker auf die Sicherheit Ihrer Produkte achtet.