N26: Warum die API  löchrig wie Schweizer Käse ist und alles ausplauderte N26: Warum die API  löchrig wie Schweizer Käse ist und alles ausplauderte
Die API von N26 plauderte zu viel über die Kunden aus und hebelte Sicherheitsfunktionen komplett aus. Über das Fintech-Startup N26 (früher: Number26) gibt es... N26: Warum die API  löchrig wie Schweizer Käse ist und alles ausplauderte

Die API von N26 plauderte zu viel über die Kunden aus und hebelte Sicherheitsfunktionen komplett aus.

Über das Fintech-Startup N26 (früher: Number26) gibt es schon seit Monaten nichts positives mehr zur berichten. Auf dem 33C3 (33. Chaos Communication Congress) haben gute Hacker wie Vincent Hapert nun eindrucksvoll demonstriert, dass auch die API von N26 sehr viel über seine Kunden verrät und ausplaudert – zu viel. Während man manche Angriffe nur ansprach haben ähnliche Vorgehensweisen funktioniert und wurden zum ausspähen von Nutzerdaten genutzt. Diese Löcher in der API wurden allerdings offengelegt und umgehend durch N26 geschlossen.

API verrät Nutzerdaten und hebelt so Sicherheitsfunktionen aus

Eine API benötigt man, um von verschiedenen Geräten Zahlungen durchzuführen oder sich „auszuweisen“. Allerdings nahm die API unter api.tech26.de auch unauthorisierte Anfragen entgegen beantwortete diese. So wurden nach eigenen Angaben 1.000 Anfragen mit einem Cent innerhalb kurzer Zeit überwiesen, ohne dass die Aktion aufflog. Durch die API seien Login-Daten sowie personalisierte Daten wie MasterCard ID und weitere personenbezogenen Daten, wie das Geburtsdatum sowie Ort, offen durch das Netz gesaust. Ebenso war es möglich sämtliche personenbezogenen Daten auszulesen, den Support anzurufen und ändern zu lassen.

Auch hätte man für einen Kunden den Account übernehmen können, ein Dispo einrichten zu lassen und dieses mit samt aufgeladenen Bankkonto leerräumen können. Man konnte sogar den kompletten Account über die API von einem x-beliebigen Kunden übernehmen – ohne es vom dem Kunden bestätigen zu lassen. Damit dies funktioniert, konnte man sogar die Smartphones unpairen. Was das für den einzelnen bedeutet, kann man sich vorstellen.

N26 hat umgehend reagiert und die gröbsten Löcher im Käse geschlossen, etwas Fad ist die Sache dennoch. Dass man nun ein Bug Bounty Program gestartet hat, bei dem „gute“ Hacker gezielt Schwachstellen aufspüren und diese an die Bank zum beheben verkaufen, ist nur ein Tropfen auf den heißen Stein. Man sollte sich schleunigst von der Bank N26 trennen!

Quelle. Netzpolitik

[amazon_link asins=’B01F02W2WQ‘ template=’ProductGrid‘ store=’vittide04-21′ marketplace=’DE‘ link_id=’ba3d6fe6-63dd-11e7-8567-69c69afd010d‘]

No comments so far.

Be first to leave comment below.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.