N26: Hintergründe zu den Sicherheitslücken und ein Bug Bounty Program

Vor Kurzem wurde bekannt, dass es gelungen sei, dem Bank-Startup N26 seine eigenen Sicherheitslücken vor Augen zu führen. Nun sind die Details da.

Was der IT-Sicherheitsforscher Vincent Haupert im Rahmen des 33. Chaos Communication Congresses (33C3) über das Bank-Startup N26 erzählt hat, dürfte N26-Kunden hellhörig werden lassen. Über Sicherheitslücken in App und API konnte Haupert sowohl Daten auslesen, als auch Transaktionen manipulieren. Er zeigte umfangreich die von ihm gefundenen Schwachstellen auf und kritisiert sehr deutlich, das Fehlen eines zweiten Sicherheitsfaktors, da alle Transaktionen sowie deren Freigabe auf einem Gerät erfolgen.

Ein lesenswertes Interview mit Haupert, in dem weitere Hintergrunddetails genannt werden, gibt es bei Netzpolitik.org. Auch kann das Video zu Hauperts Vortrag mittlerweile online eingesehen werden.

N26 startet Bug Bounty Program

N26 wurde über die Sicherheitslücken vor deren Veröffentlichung informiert und konnte sie alle schließen. Man betont zudem, dass dabei kein Nutzer zu Schaden gekommen sei. Zudem hat das Unternehmen aus diesem Grund ein Bug Bounty Program gestartet.

Dieses Programm lädt „Hacker“ und Sicherheitsforscher ein, theoretische Sicherheitslücken, unter rechtlichen Rahmenbedingungen und ohne Kunden zu schaden, herauszufinden und an N26 zu melden. Im Gegenzug werden sie dafür entlohnt. Zu verstehen ist dies also wie eine Art Wettbewerb mit Preisgeld.