Die Datenschleuder #88 - Chaosradio - CCC
Die Datenschleuder #88 - Chaosradio - CCC
Die Datenschleuder #88 - Chaosradio - CCC
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
SONDERPREIS DES <strong>CCC</strong> FÜR ONLINE-BANKING OHNE BARRIEREN C<br />
Massenhaft Internet-Banking-<br />
Löcher durch Netbank-Technik<br />
6 6<br />
von Volker Birk<br />
Online-Banking mit der Netbank ist nicht nur für Sehbehinderte barrierefrei – es war<br />
lange Zeit auch ohne jede Barriere für alle anderen Nutzer. Wer Kunde ist bei der Netbank<br />
oder bei einer der vielen Banken, die mit der Technik der Netbank arbeiten, konnte bis vor<br />
kurzem nicht nur die eigenen Kontodaten erreichen, sondern gleich noch die aller anderen<br />
Kunden dazu.<br />
Dazu brauchte man nicht einmal ein Paßwort.<br />
Der Fehler war wahrscheinlich seit September<br />
2003 in der Banksoftware enthalten und<br />
betraf neben der Netbank zudem mindestens<br />
alle Sparda-Banken sowie die PSD-Banken. Möglicherweise<br />
war das Loch sogar mit dem Demo-<br />
Zugang offen. <strong>Die</strong>s ist die Geschichte eines<br />
Hackers, der es gut mit der Bank meinte, und<br />
daraufhin 300 EUR überwiesen und wieder<br />
weggebucht bekam.<br />
Der <strong>Datenschleuder</strong>-Redaktion liegen Kontoauszüge<br />
von verschiedenen Netbank-Kunden<br />
vor, die bisweilen höchst vertrauliche Informationen<br />
beinhalten. Ein Netbank-Nutzer ist<br />
offensichtlich zum zweiten Mal verheiratet und<br />
überweist Unterhalt; zudem hat er hohe Schulden.<br />
Ein anderer Netbank-Kunde liebt Bettwäsche<br />
des 1. FC Bayern München. Wieder<br />
ein anderer überweist monatlich Geld für ein<br />
“Gesch.-ltg. Gästehaus”.<br />
Ralph Blos [Name von der Redaktion geändert],<br />
ein Hacker aus Norddeutschland, zur<br />
Redaktion: “Eigentlich automatisierte ich nur<br />
meine eigenen Überweisungen mit Skripten.<br />
Ich entdeckte, daß das Feld ‘Kontonummer’ im<br />
Webformular frei belegbar war. Da wurde ich<br />
neugierig – ich wollte nur mal probieren, was<br />
da passiert.”<br />
Tatsächlich passierte erstaunlich viel. Ohne<br />
jede weitere Sicherheitsabfrage lieferte der Netbank-Server<br />
alle Daten jedes beliebigen Kontos.<br />
Ralph Blos mußte nicht einmal versuchen,<br />
irgendwelche Sicherheitseinrichtungen zu überwinden<br />
– es gab schlicht gar keine.<br />
Technisches<br />
Wechselt man von der in PHP erstellten<br />
Netbank-Homepage zum Internet-Banking,<br />
verwendet der Server www.netbank-money.de Java<br />
Server Pages (.jsp), um die Webformulare für<br />
Kopie des Kontoauszugs, auf dem sehr schön Eingang und<br />
“Berichtigung” der Aufwandsentschädigung zu erkennen sind<br />
die datenschleuder. <strong>#88</strong> / 2005