iPhone-Bank Number26: Kreditkarten verraten eure Transaktionen
Die Anbieter des Smartphone-Kontos Number26 haben ein Problem: Die von dem Unternehmen ausgegebenen Kreditkarten speichern die zurückliegenden Transaktionen ihrer Nutzer und – eigentlich noch schlimmer – lassen sich von NFC-Kartenlesern ohne gesonderte Autorisierung auslesen.
Im Überblick: Die Number26-Transaktionen der vergangenen Tage
Das Datenleck, das der Sicherheitsforscher Christian Hawkins entdeckt und in seinem Metabubble-Blog veröffentlicht hat, scheint nach ersten Erkenntnissen nicht nur die Number26 MasterCard sowie die Number26 Maestro-Karte zu betreffen, sondern lässt sich auch bei den Fidor Smart Mastercard/Maestro-Karten reproduzieren. Visakarten der Comdirect, der Germanwings, der ING Diba und der Consorsbank zeigen keine Historie an.
Potentielle Angreifer benötigen lediglich ein NFC-fähiges Android Smartphone und eine NFC-Lese-Applikation wie etwa den Credit Card Reader. Wird diese Kombination an eure Number26-Karte gehalten, gibt der verbaute EMV-Chip binnen kürzester Zeit die Transaktionen der zurückliegenden Tage preis und Informiert über Betrag, Datum, Währung, die Kartennummer und das Gültigkeitsdatum.
Number26 war für eine Reaktion zum Datenleck leider nicht zu erreichen, brüskierte sich gegenüber Christian Hawkins jedoch im hauseigenen Support-Chat. Auf den Umstand der Datenspeicherung angesprochen, dementierte das Support-Team das Vorhandensein einer entsprechenden Funktion und lehnte nach Vorlage der Daten einen weiteren Kommentar ab. Hawkins schreibt:
When I asked their support about what historic transaction data is stored on the card, the first answer was, that the card isn’t storing any information. After showing them the facts and providing a way to read their own cards, the support was suddenly (as always) not available to comment on this issue. I have scanned my remaining credit cards. None of them were saving any historic transaction details.
Erst im vergangenen Monat hatte die Smartphone-Bank aus Anlass ihres einjährigen Jubiläums über das Wachstum der vergangenen Monate informiert. Seit Januar 2015 habe das in Deutschland und Österreich aktive Unternehmen rund 270 Neukunden pro Tag registrieren können – insgesamt seien 100.000 Girokonten eröffnet worden.
Nach leichten Anlaufschwierigkeiten – in seinen ersten Monaten fiel das Unternehmen negativ durch seine Wartelisten-Politik und falsche Mitarbeiter-Fotos auf – hat sich die Smartphone-Bank inzwischen recht solide am Markt platziert. Neben den Echtzeit-Überweisungen bietet das laut Selbstbeschreibung „modernste Girokonto Europas inzwsichen Bareinzahlungen an der Supermarktkasse an, stellt nicht mehr nur eine Kredit- sondern auch eine Debit-Karte zur Verfügung und bietet seit wenigen Wochen zudem ein Dispokredit an.
Betrifft nicht nur Number26, sondern auch die Karten der Fidor und ING Diba.
Uff, die Fidor auch?
Laut Blog steht „without transaction history
Germanwings Gold VISA
Germanwings Gold Mastercard
Consorsbank VISA debit
Comdirect VISA“, auf das sich der Artikel bezieht. Also ist Comdirect, Consorsbank und Germanwinga anscheinend doch nicht betroffen.
Und warum wird hier nur auf Number26 rumgeritten?
Vor allem glaube ich nicht das hier wirklich viele Karten getestet wurden.
Allein das comdirect, aber nicht Commerzbank betroffen sein sollen kann ich mir nicht vorstellen.
Weil das im Prinzip zwei Banken sind. Außerdem sind nicht mal alle MasterKarten der Coba vom gleichen Kartendienstleister.
Bei der Comdirect lässt es sich NICHT reproduzieren. Der Artikel hier falsch. Einfach mal das Original lesen!
Dann werde ich das frisch eröffnete Konto wohl stornieren.
und zu nem anderen Konto mit dem selben Problem hat? Wenn die MasterCard von N26 betroffen ist, wird wohl so gut wie jede andere MasterCard mit NFC betroffen sein.
Hat rein gar nichts mit Number26 zu tun, dort ist es aber auch so. Kurz google hätte das hervorgebracht ;-)
Comdirect ist definitiv nicht betroffen, kann man ganz einfach selbst ausprobieren. Oder hat jemand was anderes getestet? Habe es bei zwei VISA Karten probiert.
es scheinen nur die MasterCards betroffen zu sein
Also zum einen sind BEIDE Karten von Number26 Debitkarten und zum anderen liegt das Leck nicht bei Number26 sondern bei dem Herausgeber der Karten und das ist die Wirdecard Bank AG. Die Schlagzeile sollte also dringend richtig gestellt werden.
und selbst die WireCard Bank produziert die Karten nicht selbst.
Was ich nicht verstehe ist, weshalb die sofortige Abbuchung so ein tolles Merkmal sein soll?
Oder ist damit auch gewährleistet, dass das Geld in dem Moment auch am Empfängerkonto gutgeschrieben wird? Das glaube ich nämlich nicht.
Hat den Vorteil, dass man immer einen aktuellen Überblick über seinen Kontostand hat. Weil ausgegeben ist das Geld ja so oder so. Mich nervts da eher, wenn ich noch paar Tage warten muss, bis die Bank irgendwann (teilweise erst nach ein paar Tagen) mal meine Kartenzahlungen im Konto anzeigt…
Weil das Geld nicht „festhängt“ und sofort in Umlauf kommt.
So ein Schmarrn. Das Geld wird im gewohnten Schneckentempo abgebucht.
Number26 zeigt einfach ungebuchte Transaktionen schon an, sobald sie autorisiert wurden.
Ist ganz nett, weil man weiss auf die Sekunde genau, was mit der Karte passiert. Keine Ahnung, warum andere Banken das nicht zeigen.
Etwas Offtopic: Hat es jmd. geschafft, das Numbers26 Konto in Banking4i zu integrieren?
Ich glaube, dass Number26 die Schnittstelle für Drittanbieter Banking-Software nicht unterstützt. Da liegt wohl das Problem.
Falsch outbank funzt
nein, auf der Banking 4i Seite steht auch das N26 nicht supported wird.
Outbank auf dem iPhone unterstützt das N24 Konto, zumindest den Kontoumsatz. Überweisung geht logischerweise nicht.
Yepp, kann meine Daten auslesen. Bei der Amex geht es nicht.
Nicht schön, nutze meineBank 26 aber nur als prepaid Card mit wenig Guthaben.
Mal schauen wenn die Karten ausgetauscht werden.
Bezüglich comdirect hätte es gereicht, den zitierten Blog des Authors zu lesen, wo er explizit erwähnt, dass deren VISA-card eben keine History herausgibt.
Ja die haben da was durcheinander gebracht, auf dem Blog heißt’s, dass N26 Maestro und MasterCard als auch Fidor betroffen sind.
Und explizit wird erwähnt, dass Germanwings, Consorbank und Comdirect nicht betroffen sind.
Falsches Mitarbeiter-Bild? Ist da die Rede von Alex? Dazu gibt es gerade heute ein neues Video auf der Number26-Facebook-Seite
Vielleicht solltet ihr auch mal die Stellungnahme erwähnen bevor ihr auf Number 26 rum hackt! Sind wir hier bei BILD.de oder was?
http://www.twitlonger.com/show...../n_1soa2dg
Wenn dem so ist das es MasterCard Standard ist dann sollte MasterCard schnellstens nachbessern. Ich werde mir keine MasterCard holen unter diesen Vorraussetzungen
*ist
Kommt mir bekannt vor, ganz ähnliche Problematik mit speichern von Standortdaten bei VBB Karten: http://www.golem.de/news/vbb-f.....18840.html
Das keiner fragt: Warum?
Egal bei welcher Bank oder Karte!!
Und wo ist das Problem?
Bin seit März 2015 dabei. Super Bank. ABER seit zwei Mobaten häufen sich die Unannehmlichkeiten.
Und banking4i hat nochmal genau was mit Outbank zu tun?