Lücke im Postbank-Onlinebanking
Der Sender SWR3 hat eine Schwachstelle im Online-Banking der Postbank entdeckt, mit der selbst Laien problemlos die Kontodaten von Postbankkunden einsehen können. Sie benötigen lediglich einen Link, der standardmäßig mit einer Online-Quittung per eMail übermittelt wird. Laut Postbank-Sprecher Jürgen Ebert könne für Kunden aber kein finanzieller Schaden entstehen.
Kontoeinsicht ohne Sepzialwissen
Die Lücke steckt in der Art, wie die Postbank mit Überweisungs-Quittungen verfährt. Wird diese per eMail verschickt, kann der Empfänger unter Umständen sämtliche Geldbewegungen des Kontoinhabers einsehen. Und das ohne Hackingwissen oder Kenntnisse über Kontonummer oder Passwort. Dabei ist diese Funktion durchaus gebräuchlich, etwa um eine Transaktion gegenüber einem Geschäftspartner nachzuweisen.
eMail-Quittung enthält Kontozugang
Beim Verschicken der Überweisungs-Quittungen werden Links mit verschickt, die die Legitimation für das Online-Banking enthalten. Ist diese Banking-Sitzung noch nicht geschlossen, kann der Empfänger mit Hilfe des Links auf die jeweiligen Kontodaten zugreifen. Ebert zufolge handele es scih hierbei aber nicht um einen Sicherheitslücke. Es könne kein finanzieller Schaden entstehen: "Wichtig ist an dieser Stelle festzuhalten, auch wenn der Fremde in das Konto geschaut hat, es sind keine Transaktionen möglich", sagte der Postbank-Sprecher gegenüber SWR3. Man wolle aber im Laufe diesen Jahres auf eine Lösung mit Session Cookies wechseln.
Banking-Sitzung gleich beenden
Dennoch wird die Vertraulichkeit des Bankgeheimnisses massiv beeinträchtigt. Postbank-Kunden, denen die Vertraulichkeit ihrer Bankdaten am Herzen liegt, sollten die Überweisungs-Quittungen erst dann per eMail verschicken, wenn sie ihre Banking-Sitzung geschlossen haben. Damit gehen sie sicher, dass kein Dritter Einblick in ihre finanzielle Situation erhält.
Quelle:http://computer.t-online.de/c/14/52/58/94/14525894.html
Gruss burmtor