Number26 Kreditkartendaten lassen sich via Android-App ausspionieren
Das kostenlose sowie schnelle Kreditkarten-Konto von Number26 erfreut sich zunehmender Beliebtheit. Jedoch hat nun der bekannter Blogger Christian Hawkins herausgefunden, dass man via einer Android-App diverse Transaktionsdaten der Number26 MasterCard Kreditkarte auslesen kann. Es sind jedoch noch weitere Banken von dieser Sicherheitslücke betroffen.
Hawkins, der laut eigenen Angaben eine Number26 Kreditkarte besitzt, bloggt über eine äußerst ernst zunehmende Sicherheitslücke des Berliner Startup-Unternehmens. Im goldenen Chip der Karte gäbe es mehrere Daten, die vollkommen unverschlüsselt sind, so der technisch versierte Blogger. Diese schwere Sicherheitslücke wurde entdeckt, indem er via NFC (Near Field Communication) den Chip der Karte auslas. Erreicht wurde dies mit der kostenlosen Android-App Scheckkartenleser NFC (EMV), die man sich aus dem Google Play Store herunterladen kann. Die mobile Anwendung kann öffentliche Daten auf Scheckkarten auslesen. Ein Test von uns brachte erschreckende Erfahrungen. Im Gegensatz zu einer anderen Kreditkarte scheint Number26 wohl einige empfindliche Daten von Kunden auf dem NFC-Chip abzuspeichern, die man mit einfachen Mitteln auslesen kann.
Nicht nur Number26 von dieser NFC-Sicherheitslücke betroffen
Dieser Test von Hawkins hat natürlich dazu eingeladen, auch andere Kreditkarten-Anbieter unter die Lupe zu nehmen. Auch die Fidor-Smartcard ist von dieser Lücke betroffen, ergab ein Test des Technik-Blogs MobiFlip. Auch bei Karten der ABN Ambro Bank, Postepay in Italien, einer Miles-and-More Kreditkarte der DKB sowie der Sparkassen-Card GiroGo fand man mit der Android-App empfindliche, private Transaktionsdaten auf dem NFC-Chip vor.
Die Verantwortlichen bei Number26 haben sich bereits zu dieser Sicherheitslücke zu Wort gemeldet. "Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf Number26 beschränkt ist. Diese Karteneinstellung ist MasterCard-Standard und gang und gäbe bei vielen Banken in Europa." Laut den Experten von Ratpack kann hier jedoch absolut keine Rede eines Standards sein, dies sei nicht auf diverse Einstellungen von MasterCard zurückzuführen, sondern würde die Programmierung des jeweiligen Chips auf der Karte betreffen, die eben in diesem Fall von Number26 ausgeht.