N26
- Starter*in newcomer
- Datum Start
ANZEIGE
So, auch hierzu ein kurzes Feedback...
Innerhalb des von mir festgesetzten Zeitrahmens hat sich eine Mitarbeiterin wie versprochen telefonisch gemeldet, sich 100x entschuldigt und nach dem Check meiner Identität und alten Number 26 Karte mir die Aktivierungsnummer meiner Karte telefonisch durchgegeben.
Ich bin also damit doch noch zu N26 umgezogen. Die mittlerweile 3. Karte welche an mich insgesamt versandt wurde kann ich gleich wieder entsorgen, da sie heute eine 4. Karte abgeschickt haben. Mal sehen ob und wann die eintrudelt.
Ist doch was positives, wenn die doch ein Interesse haben.
Auch wenns scheinbar ein paar Anläufe gebraucht hat
Reicht die normale HTTPS Verschlüsselung nicht? Dann muß der Angreifer/MITM doch erst mal ein von einer der im Endgerät vertrauten CAs ausgestelltes gültiges Zertifikat haben. Ja, es hat schon Fälle gegeben wo das jemandem gelungen ist, Geheimdienste haben sowieso Kontakte zu den CAs und ebenso gibt es Schadprogramme (manche unter dem Deckmantel Sicherheitsprogramm https://www.heise.de/-3587871 ) welche eigene CAs auf dem Endgerät platzieren wollen. Aber sonderlich wahrscheinlich ist das alles nicht.
Von daher erscheint mir das fehlende Certificate Pinning auch weniger erschreckend als die übrigen Sicherheitsprobleme bei N26 zu sein.
Ja, normale HTTPS-Verschlüsselung reicht und wurde/wird auch so eingesetzt von N26.
Im Talk kam es (zumindest für mich) so rüber, dass das SSL-Cert nicht überprüft werden würde. Nach Sichtung des Quellcodes ist das aber nicht der Fall, einer der gestellten Fragen war da ja auch schon ein wenig drauf eingegangen.
Praktisch war ein Ausnutzen also nur durch Phishing möglich.
M
mnbv
Guest
Ich bin immer noch unsicher, meldet N26 jetzt das Konto an die Schufa?
Das mit dem Dispo ist klar, der wurde mir vor dem Umzug aber auch gekuendigt.
Bin Bestandskunde. Laut Twitter nicht: https://twitter.com/n26/status/818151395736092672
Laut FAQ ja: https://support.n26.com/read/000001385?locale=de
Oder ist das wie die 1,7% ATM Gebuehr, duerfen tuen sie es, aber aktuell machen sie es nur nicht, bis es dann jemand rausfindet das sie es doch machen.
Das mit dem Dispo ist klar, der wurde mir vor dem Umzug aber auch gekuendigt.
Bin Bestandskunde. Laut Twitter nicht: https://twitter.com/n26/status/818151395736092672
Laut FAQ ja: https://support.n26.com/read/000001385?locale=de
Oder ist das wie die 1,7% ATM Gebuehr, duerfen tuen sie es, aber aktuell machen sie es nur nicht, bis es dann jemand rausfindet das sie es doch machen.
Mit der neuen Karte ist es nicht möglich, Tickets von Lion Air zu kaufen. AirAsia funktioniert.
M
mnbv
Guest
Gab wohl wieder Ausfaelle bei der Mastercard:
https://twitter.com/N26_Support/status/818888698234290177?conversation_id=818714955608424448
https://twitter.com/N26_Support/status/818736757361483777
Wohl doch nicht so stabil, auch ohne Wirecard.
https://twitter.com/N26_Support/status/818888698234290177?conversation_id=818714955608424448
https://twitter.com/N26_Support/status/818736757361483777
Wohl doch nicht so stabil, auch ohne Wirecard.
Unsicherheit des Kontos eher, ein Angriff auf die Karte wurde ja nicht durchgeführt.
(Abgesehen davon, dass die Diskussion schon vor Ewigkeiten hier geführt wurde und die Schwachstelle eher theoretischer Natur war)
Nicht das Konto, aber im Zuge des Umzugs hat die Wirecard Bank meine spanische Adresse an die SCHUFA in Deutschland gemeldet.
Wohlgemerkt ohne jegliche Zustimmung meinerseits. Ob ich da gemeldet bin oder nicht, kann sie natürlich nicht prüfen, speichert es aber trotzdem als meinen Wohnsitz.
Schöne Scheiße, die steht jetzt da drin und geht auch nicht mehr raus.
Doch. Gerade im ach-so-tollen Datenschutzland, wo sich den ganzen Tag über Facebook aufgeregt wird.
Dass die SCHUFA ungefragt sensibelste Daten wie meine Anschrift und Geschäftsbeziehungen speichert ist cool, wenn ich freiwillig und aktiv Facebook Daten übergebe, ist das ganz schlimm und böse?
Zuletzt bearbeitet:
... was jetzt aber eher Deine Meinung und die einiger anderer N26 Verfechter hier war. Eine Klärung zu der Zertifikatethematik, sprich ein Statement des Autors dazu, habe ich bisher nicht finden können. Es gab ja auch die Aussage, dass die Zertifikate überhaupt nicht überprüft wurden - sprich dass man ohen https zugreifen konnte. Wobei ich jetzt auch nicht zu beurteilen vermag, ob das stimmt.
... und die Geschichte mit den Siri-Überweisungen ist ja wohl nochmal eine andere.
Kann ich so nach Studium der .apk zumindest für Android nicht bestätigen, das wäre aber auch grob fahrlässig.
Die letzte Frage im Talk dürfte das aber auch indirekt bestätigen.
Wenn auch auf 25€/Überweisung und 100€/Tag limitiert (und auch wieder nur mit Account-Zugriff, wieso nicht direkt mehr über die App senden?)
Wurde die aber nicht mehr richtig beantwortet? Wie gesagt, ich bin nicht der große Sicherheitsexperte aber ich persönlich würde schon gerne ein konkrete Konfrontation mit dem Autor zu der Sache sehen wollen, bevor ich mir eine Meinung bilde.
Bzgl. APK: Ich nehme an, Du bist sicher, dass das APK, das Du Dir angeschaut hast, von vor den Hinweisen des Autors war? Er hat ja erst N26 und dann erst die Öffentlichkeit informiert.
Warum? Weil es schon öfters diskutiert wurde?
Geklärt wurde es m.E. bisher nicht endgültig.