ANZEIGE
-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
N26
- Starter*in newcomer
- Datum Start
ANZEIGE
Relativ kleine Beträge, aber Zahlungen entsprachen 1:1 den Beträgen vom MasterCard Currency Converter.
Man verwendet also in der Tat den echten MasterCard-Kurs und nicht die dubiosen Wirecard-Echtzeit-Kurse.
Man verwendet also in der Tat den echten MasterCard-Kurs und nicht die dubiosen Wirecard-Echtzeit-Kurse.
Meine Freundin hat vor einer Woche eine Wasserflasche an einem Getränkeautomaten in HEL gekauft - und jetzt mehr Geld als vorher.
Der Automat hatte ein Ding zum Karte stecken ohne Pin-Pad.
Beim Stecken wurden erstmal 10€ autorisiert und dann durfte man sein Getränk auswählen, welches 2,50€ kostete.
Am nächsten Tag war auf dem N26-Konto nur eine Autorisierung von 10€ sichtbar.
Einen Tag später wurden die 10€ wieder zurückgebucht.
Noch einen Tag darauf wurde die Autorisierung von 10€ auf 2,50€ herunterkorrigiert.
Im Ergebnis also Abbuchung 2,50€ und Rückerstattung 10€.
Mal sehen, was noch passiert...
Der Automat hatte ein Ding zum Karte stecken ohne Pin-Pad.
Beim Stecken wurden erstmal 10€ autorisiert und dann durfte man sein Getränk auswählen, welches 2,50€ kostete.
Am nächsten Tag war auf dem N26-Konto nur eine Autorisierung von 10€ sichtbar.
Einen Tag später wurden die 10€ wieder zurückgebucht.
Noch einen Tag darauf wurde die Autorisierung von 10€ auf 2,50€ herunterkorrigiert.
Im Ergebnis also Abbuchung 2,50€ und Rückerstattung 10€.
Mal sehen, was noch passiert...
tl;dr des 33C3-Taks gerade:
* Die Unterscheidung von Banking- und Auth in 2 Apps (e.g. Sparkasse) genau so angreifbar wie die eben 1 App
* Transaktions-Zertifizierung funktionieren über RSA-Key (gut)
* Kein TLS-Key-Pinning (doh)
* Transaktionsmanipulation möglich, wenn MiTM-Angriff erfolgt.
* MasterCard-Token, der auf der Karte aufgedruckt ist und zum Auth verwendet wird auch in einigen API-Responses erhalten.
Antwort von N26 professionell, er war wohl auch mal dort.
Größte Problem wohl in der Tat wie erwartet fehlendes Cert-Pinning. Damit wäre es möglich gewesen einen Account beispielsweise in einem öffentlichen WiFi zu übernehmen, wenn man dort gerade Banking-Geschäfte abgewickelt hätte. Gut allerdings zu hören, dass das Transaktions-Zertifizieren selber wohl sicher war.
* Die Unterscheidung von Banking- und Auth in 2 Apps (e.g. Sparkasse) genau so angreifbar wie die eben 1 App
* Transaktions-Zertifizierung funktionieren über RSA-Key (gut)
* Kein TLS-Key-Pinning (doh)
* Transaktionsmanipulation möglich, wenn MiTM-Angriff erfolgt.
* MasterCard-Token, der auf der Karte aufgedruckt ist und zum Auth verwendet wird auch in einigen API-Responses erhalten.
Antwort von N26 professionell, er war wohl auch mal dort.
Größte Problem wohl in der Tat wie erwartet fehlendes Cert-Pinning. Damit wäre es möglich gewesen einen Account beispielsweise in einem öffentlichen WiFi zu übernehmen, wenn man dort gerade Banking-Geschäfte abgewickelt hätte. Gut allerdings zu hören, dass das Transaktions-Zertifizieren selber wohl sicher war.
Man sollte noch erwähnen, dass N26 behauptet, alle Fehler seien mittlerweile ausgebügelt. Das will man schließlich auch hoffen, denn die Fehler wurden bereits im September gemeldet. Interessanterweise werden alte Apps nicht geblockt. D.h., Apps, in denen kein Cert-Pinning vorhanden ist, können immer noch für N26-Transaktionen genutzt werden. Besser wäre es, die Nutzer zu einem Update zu zwingen. Zudem ist es schon ziemlich bedenklich, wie ausgabefreundlich die APIs waren (hoffentlich nicht mehr sind). Mich erinnert das an ein System im relativ frühen Entwicklungsstadium, in dem über APIs viel offengelegt wird, vor allem aus Faulheit, und später dann nicht mehr entsprechend aufgeräumt wird.
Es ist gut, dass N26 offen und professionell reagiert und die Fehler ernst genommen hat. Jedoch ist es auch sehr bedenklich, dass die API es in dieser Form wirklich in Produktion geschafft hat. N26 im Moment als Haupt- bzw. Gehaltskonto zu benutzen, wäre mir persönlich etwas zu riskant. Lieber noch ein wenig abwarten, bis die App und Authentifizierung ein wenig ausgereifter ist.
Der Talk von Vincent war übrigens klasse! Hat Spaß gemacht zuzuhören.
Es ist gut, dass N26 offen und professionell reagiert und die Fehler ernst genommen hat. Jedoch ist es auch sehr bedenklich, dass die API es in dieser Form wirklich in Produktion geschafft hat. N26 im Moment als Haupt- bzw. Gehaltskonto zu benutzen, wäre mir persönlich etwas zu riskant. Lieber noch ein wenig abwarten, bis die App und Authentifizierung ein wenig ausgereifter ist.
Der Talk von Vincent war übrigens klasse! Hat Spaß gemacht zuzuhören.
Geburtsort ist nicht mehr in der API-Response vorhanden, MasterCard-Token auch nicht mehr. Sieht also gut aus. Wobei ich persönlich das Angriffszenario mit MiTM etwas zu billig fand, hätte irgendwas clientseitiges konkreter gefunden.
Edit: Cert-Pinning ist auch implementiert.
Edit 2: Gerade mal paar Apps von anderen Banken angesehen und schon die erste App auch ohne Cert-Pinning gefunden. Oh Gott.
Zuletzt bearbeitet:
MitM sind ja wirklich nur in unverschlüsselten Netzwerken interessant. Mobiles Internet über den Netzanbieter ist gegen nicht spezialisierte Angriffe geschützt und sich wegen N26-Kunden in einen Mobifunkanbieter zu hacken halte ich für zu viel aufwand. Und wer Banking in einem nicht gesicherten Netzwerk macht gehört sowieso geschlagen
Nebenbei: Die Gründer und Macher kommen aus dem Finanz-/Consultant-Bereich. bunq-Gründer Ali Niknam hat dagegen vorher einen recht erfolgreichen Web- und VPS-Hoster aufgebaut.
Das muss nun per se nichts heissen ...aber ich wüsste schon, wem ich persönlich in dieser Hinsicht zumindest mehr Vertrauen vorschiessen würde.
Hab's mir jetzt auch mal rein gezogen. Scheint ja der Lacher an sich gewesen zu sein der Vortrag. 
2 Geräte werden aber als sicherer betrachtet als eines!
Meistens sind das doch nur irgendwelche Nerds die unendlich viel Zeit und Geduld haben das Wissen zu sammeln um eine Schwachstelle zu finden und auszunutzen. Die entscheidende Frage ist aber oft: wie wahrscheinlich ist es dass ich jemanden begegne der auch dazu bereit ist und der gerade mir schaden will? Und die Antwort ist meist: extrem unwahrscheinlich.
https://zerofinancial.com/
Hab das gerade gefunden. Sieht nach einer Konkurrenz für N26 aus.
Aber 3% Cashback? Wie soll das funktionieren?
Hab das gerade gefunden. Sieht nach einer Konkurrenz für N26 aus.
Aber 3% Cashback? Wie soll das funktionieren?
Es ist bis zu 3% (und das nur dann wenn man ueber 100,000$ ausgibt).
Bis 25,000 $ gibt es nur 1% und da es sich um die USA handelt ist das moeglich, da die Interchange Rate da wesentlich hoeher ist, insbesondere da die Karte eine Credit card ist (auch wenn sie sich wie eine Debit karte verhaelt).
Also durchaus moeglich, auch wenn die hoehere Cashback function eher wie ein Multi Level Marketing aussieht.
paypal US verlangt z.B. mehr als die in Deutschland üblichen 1,9%:
https://www.paypal.com/us/webapps/mpp/paypal-fees
Die ganzen Schritte basieren ja darauf, dass Zugriff auf Nutzerdaten besteht. Und das geht ja nur mit MITM. Wenn man sein Online-Banking also nicht in einem öffentlichen WiFi mit schlechter Konfiguration macht war das nicht ausnutzbar. Deshalb in der Tat eher akademisch als super-kritisch. Hatte eher was spannenderes erwartet.
Dank höherem Interchange lassen sich in den USA durchaus bessere Karten anbieten
https://www.americanexpress.com/us/credit-cards/card/blue-cash-preferred/
Mobilfunk-Mitm ist extrem aufwendig und teuer, ein IMSI-Catcher reicht nicht. Da gibt es dann deutlich interessantere Einsatzzwecke als ein N26 Bankkonto.
Update zu meinem Kontowechsel:
Am 6.11. beantragt, einer der Erstkunden von Number26.
Etliche Warn Emails bekommen und ich solle doch eine neue Karte bestellen.
Nun ja, am 27.12. kam dann die erste Karte an! Die ist natürlich nicht mehr aktivier, sagt N26. Man könnte sicherlich die Datensätze in den Datenbanken manuell ändern, wenn man denn wollte.
Die neue Karte kommt bestimmt nicht bis Silvester an, der letzte Zeitpunkt wo ich Zugriff habe auf meinen Briefkasten.
N26 sagt, sie kann doch nichts für lange Postlaufzeiten, was Jahreszeit bedingt ist. Eine totale Frechheit, diese Ausrede!!
Das einzig Gute, was ich berichten kann, ich war eben beim Einloggen direkt Nummer 2 im Chat.
Gibt es irgendeine Möglichkeit, den Post Barcarcode auszulesen, um zu sehen wann der Brief frankiert würde, wäre super deren Lügen zu widerlegen.
War ne nette Zeit, aber wenn die es bis Silvester nicht schaffen, dann eben Pech, ich werde bestimmt kein neues Konto beantragen!
Am 6.11. beantragt, einer der Erstkunden von Number26.
Etliche Warn Emails bekommen und ich solle doch eine neue Karte bestellen.
Nun ja, am 27.12. kam dann die erste Karte an! Die ist natürlich nicht mehr aktivier, sagt N26. Man könnte sicherlich die Datensätze in den Datenbanken manuell ändern, wenn man denn wollte.
Die neue Karte kommt bestimmt nicht bis Silvester an, der letzte Zeitpunkt wo ich Zugriff habe auf meinen Briefkasten.
N26 sagt, sie kann doch nichts für lange Postlaufzeiten, was Jahreszeit bedingt ist. Eine totale Frechheit, diese Ausrede!!
Das einzig Gute, was ich berichten kann, ich war eben beim Einloggen direkt Nummer 2 im Chat.
Gibt es irgendeine Möglichkeit, den Post Barcarcode auszulesen, um zu sehen wann der Brief frankiert würde, wäre super deren Lügen zu widerlegen.
War ne nette Zeit, aber wenn die es bis Silvester nicht schaffen, dann eben Pech, ich werde bestimmt kein neues Konto beantragen!
Hat Rewe unterschiedliche Kassensysteme? Vor ziemlich genau einem Jahr konnten die Kassen den Code problemlos von meinem Handydisplay einlesen. Sowohl diese zum Kunden angebrachten Scanner (mit Zielscheibenaufkleber, wohl mal für Yapital angeschafft) als auch die normalen Scanner (einmal war der "Kundenscanner" defekt/aus).
Ja gibt es!
Bei frankierten Umschlägen steht das Datum exakt drauf; bei DV-freigemachten Briefen mit Matrixcode kann der Normalanwender zumindest den Monat und das Jahr auslesen. Aber auch da kann man mehr erfahren.
Unbeschadet der Tatsache, dass Certificate Pinning ein zusätzliches Sicherheitsfeature sein kann, wird m.E. nicht klar, wieso es nicht ausreicht, wenn der Client (neudeutsch "App") das TLS-Zertifikat des Servers verifiziert. Der letzte Frager nach dem Vortrag spielt genau auf diesen Punkt an; sprich wie denn der Autor an ein valides Zertifikat für N26s API-Server-FQDN rankäme, aber beantwortet wird die Frage nicht.
Daher bitte hier die Frage, wieso ein Client mit sauber implementierter TLS-Zertifikatsverifizierung anfällig für MitM sein soll.
MitM kann auch darauf basieren, das IP-Routing oder, vermutlich häufig einfacher, den DNS, den das Opfer verwendet, zu manipulieren. Da spielt die Sicherung auf Netzwerkebene im (W)LAN keine Rolle.
Ein WLAN, das PSK verwendet, ist übrigens auch nur so sicher, wie dieser Schlüssel nicht zig anderen Personen (Kunden) bekannt ist.
Der zweite im Vortrag präsentierte Angriff basiert übrigens gar nicht auf MitM; der Kunde muss dabei gar nichts aktiv machen (außer auf Phishing reinfallen und sein Login-Passwort preisgeben oder dasselbe Passwort auf verschiedenen (z.T. kompromittierten) Diensten zu nützen o.ä.).
ANZEIGE
![]()
Das ist in der Tat eine gute Frage. Habe noch eine alte N26-APK rumfliegen, werde bei Gelegenheit mal nachschauen ob Certs von untrusted roots akzeptiert werden. Falls nicht wäre das ganze doch ziemlich billig. Und naja, das man mit Phishing Daten abgreifen kann ist nun wirklich nichts neues.