N26-Kunden anwesend?
Mittwoch, 28.12.2016, 11:10 > daMaxEs gibt da ein neues Startup, das eine Banklizenz bekommen hat. Falls jemand von euch schon Kunde dieser neuen "Bank" sein sollte, könnte euch das aktuelle Sicherheitsdesaster dieses Dienstleisters interessieren.
Seit iOS 10 ist es zudem bei N26 möglich, Transaktionen über Apples iPhone-Sprachassistenten Siri auszuführen. Durch nachlässige Implementierung wurden diese Transaktionen bislang jedoch nicht signiert, weshalb es Angreifern nur mit dem Wissen der Login-Daten möglich war, eigene Transaktionen zu tätigen — selbst wenn man gar kein iPhone besitzt.
und
Außerdem kann man die „MoneyBeams“-Funktion von N26, mit der Geld mit sofortiger Wirkung an andere N26-Kunden geschickt werden kann, dafür verwenden, einen großen Datensatz auf N26-Kunden zu überprüfen. Das funktioniert deshalb, weil N26 ungehasht alle E-Mail-Adressen und Telefonnummern des Adressbuchs hochlädt und mit den Kontaktdaten seiner Kunden vergleicht.
Und das sind nur zwei von diversen Hämmern. o.O
Artikel als RSS
Ha, ich habe die Banken sauber ausgetrickst: Ich habe praktisch kein Geld.
„Was ist ein Dietrich gegen eine Aktie? Was ist ein Einbruch in eine Bank gegen die Gründung einer Bank?“
(Elisabeth Hauptmann, 1929)
Info unvollständig. Die Lücken sind meines Wissens inzwischen gefixt. Zumindest die nicht-konzeptionellen. Siehe heise.de etc.
@Sven: Ja, die Lücken sind in Zusammenarbeit mit Vincent Haupert gefixt worden. N26 war wohl sehr kooperativ. Aber trotzdem ist es erschreckend, was N26 da im ersten Wurf kreiert hat. Ich kann jedem den Vortrag vom 33c3 nur ans Herz legen.
@derHacki: seh' ich genau so.