Tausende Dokumente von Kunden der Novum Bank Limited sollen im Internet wegen eines Datenlecks im Umlauf sein. Mastercard-Prepaid ade?
Tausende Dokumente von Kunden der Novum Bank Limited sollen wegen eines Datenlecks im Umlauf sein. Fatal, denn „Mobiles Bezahlen“ via Mastercard-Prepaid etc. verzeichnet rasante Wachstumszahlen. Ob mobile Aufladung von Prepaid-Handys, Prepaid-Kreditkarten oder Gutscheinkarten – für viele Kunden überzeugend sind Kostenkontrolle und fehlende Bonitätsprüfung. Banken und Kreditkartenfirmen freuen sich über große Geschäfte. Doch sie sind vor Datenlecks nicht gefeit. Jüngstes Beispiel: Novum Bank Ltd. – die am 26.02.2015 ein Datenleck zugeben musste.
Umfangreiches Datenleck
Novum Bank limited mit Sitz in Malta ist nicht zu verwechseln mit der Novum Bank Komórek Macierzystych „nOvum“ in Warschau, Polen. Die Maltekische Novum Bank mit Tochterunternehmen in Rumänien, Niederlanden und im deutschen Oberursel bietet europaweit Zahlungsmittel wie die MasterCard-Prepaid-Karte. Vor allem in Deutschland erfreut sich das Produkt wachsender Beliebtheit. Die Karte können Kunden beinahe überall im Einzelhandel kaufen und nach Aktivierung beliebig oft aufladen via Barzahlung, Überweisung oder SMS. Der Betrag ist sofort verfügbar. Bequem, schnell und vor allem natürlich sicher – so dachten viele Kunden bisher. Das könnte sich ändern…
Kunden-Hinweis von Bank schlecht gedankt
Am 24.02.2015 erhielten wir von einem unbekannten Leser (thx an 0hman!) einen Hinweis auf ein Datenloch bei der Novum Bank Ltd. Bereits in der Vergangenheit haben wir immer wieder auf Datenlecks bei Firmen-Websites hingewiesen, nicht ohne fairerweise zuvor die Firmen über ihr Sicherheitsproblem zu informieren.
Unser Leser schreibt uns: „… Die Lücke wurde von einem Hobbyprogrammierer (Anmerkung d.Red.: der Novum-Kunde ist und dies der Novumbank auch so) gemeldet, der anschließend von der Novum Bank Limited gesperrt und „vergewaltigt“ wurde, was Du bei Heise nachlesen kannst…“ Dazu findet man bei heise-online im Forum Special folgenden Eintrag, den unser Leser entdeckte:
„23. Februar 2015 14:25 – Mastercard-Prepaid Sperre nach Meldung einer Sicherheitslücke – ellab – 1 Beitrag seit 23.02.15 … Ich bin selbständiger WebDeveloper und nenne mich selbst einen „kleinen Sicherheitsexperten“ ich habe wirklich Spaß daran Sicherheitslücken zu suchen, und wenn ich welche finde so ist mein erster Weg das Impressum der Webseite oder ein Kontaktformular um es zu melden. Ich bin seit einiger Zeit Kunde bei der Novum Bank Limited… und ich dachte, wieso nehme ich denn nicht mal die Webseite von der Bank in Augenschein.
Nach circa 10 Minuten fand ich eine Sicherheitslücke der Stufe Doppelrot (in meinen Augen) ich habe dann der Bank eine Mail geschrieben sie mögen mich bitte an einen Techniker weiterleiten aufgrund der schwerwiegenden Sicherheitslücke damit diese schnell gefixt wird, da ich nach einigen Stunden noch keine Antwort erhielt (sind normalerweise relativ schnell bei Mails) habe ich dann einfach dem Support die Sicherheitslücke in einer Mail gesendet mit der bitte sie weiterzuleiten.
Nun 6 Stunden nachdem ich die Sicherheitslücke gemeldet habe wollte ich noch den Rest des Geldes auf meine Prepaid-Karte laden aber musste feststellen das meine Prepaid-Karte den Status „Gesperrt“ hat…“ Geht man so mit Mastercard-Prepaid Kunden um?
Professionelles Bank-Verhalten bei Mastercard-Prepaid?
Mal abgesehen von der grundsätzlichen Peinlichkeit für eine Bank – denn wo eine Sicherheitslücke ist, stellt sich sofort die Frage nach weiteren. Erstaunlich ist die Dummheit, mit der manche Firmen handeln. Anstatt sofort auf Kundenmails zu antworten, lässt man erst mal Zeit verstreichen. Auch in diesem Fall musste der Kunde erneut seine Entdeckung mailen, bis er überhaupt ernst genommen wurde. Die dann folgende Reaktion ist bezeichnend: der Überbringer der schlechten Nachricht wird bestraft – nicht die Verantwortlichen der eigenen Sicherheits- und Softwareabteilung.
Muss es erst einen Shitstorm geben, bevor Banker nachdenken? Richtig wäre ja wohl, sich beim Kunden zu bedanken für den Hinweis und dann so schnell wie möglich die Lücke zu schließen. Kundenbindung nennt man sowas. Die Bank kann über solche Kunden froh sein, denn sonst wäre die Lücke noch länger offen und der Schaden noch größer. Eigentlich müsste die Bank dem Kunden ein finanzielles Dankeschön (mit mehreren Nullen) auf seine Prepaidkarte (bzw. Mastercard-Prepaid) laden, anstatt ihm diese zu sperren…
Für jeden frei zugängliche Bank-Kundendaten?
Zurück zu unserem Leser, der den Foreneintrag auf Heise entdeckte und sich so seine Gedanken dazu macht: „Ich konnte sie (die Kundendaten, Anm. d.Red.) mit wenig Glück selber finden und hab einfach mal die Dokumente an mich genommen ehe die Lücke gefixt wird, wirke auf jeden Fall seriöser als die Novum Bank Limited selber. Ausweise, Stromabrechnungen, Kontoauszüge, Aufenthaltstitel und so viele mehr … Wenn du dich bei Heise kurz durchgelesen hast ist hier die kurze Information zur Lücke die aber bereits gefixt wurde und zwar konnte man mit einer aktiven Session die Attachments aus dem „Kundenbereich“ von jedem Kunden Downloaden, dazu muss man den Wert der ID nach belieben erweitern. Bsp Link (https://www.jokerkartenwelt.novumbankgroup.com/Account/GetUserFileUpload?attachmentId=22365)
Es sind mit Absicht nur Thumbnails in der Größe 200×200 damit niemand Unfug treiben kann. Ich besitze natürlich auch die Originalen die teilweise EXIF Daten enthalten! Proof gibts auf Anfrage!“ Und dann folgen 66 Dateien mit Fotokopien von Personalausweisen aus Deutschland, Italien, Spanien, Malta, Polen, Ungarn, Rumänien… Dazu Asyldokumente, Kreditkartenabrechnungen… – wohl gemerkt alles Klarnamen mit Adressen und Fotos! Wenn das meiner Bank passiert und dann meine persönliche Daten im Internet frei erhältlich sind – ich wechsle sofort die Bank. Banken können nur auf Kundenvertrauen bestehen, da muss dieser Vorfall ein Mega-Gau sein – eigentlich.
„Alles Prepaid – oder was?“
Das sagt die Bank dazu
Auf der Homepage von Jokerkartenwelt steht:
„Novum Bank Limited gibt eine Verletzung von Kundendaten bekannt:
– Eine begrenzte Anzahl von Kundenidentifikationsunterlagen im Zusammenhang mit unseren Kartengeschäften waren betroffen;
– Keine anderen internen Systeme oder andere branchenübliche sensiblen Daten waren hiervon betroffen. Auch sind keine Kartendaten, einschließlich PAN (Kreditkartennummer), CVC2 (Kartenprüfnummer), PIN Code und Gültigkeitsdatum davon betroffen. Guthaben bzw. Kundengelder auf den Karten sind hiervon ebenfalls nicht betroffen; Die Novum Bank Limited hat eine Verletzung innerhalb der Sicherheit zum Schutz der Kartenproduktwebseiten festgestellt. Dies kann zu unbefugte oder unsachgemäße Verwendung der Kundenidentifikationsunterlagen führen welche während des Kundenüberprüfungsprozesses bereitgestellt wurden.
Die Novum Bank kontaktiert alle Kunden deren Dokumente hiervon beeinträchtigt gewesen sein könnten. Datensicherheit nimmt die Novum Bank sehr ernst. Natürlich haben die Datensicherheitsexperten der Novum Bank sofort die Sicherheitslücke geschlossen um eine Wiederholung zu verhindern. Es wurden die zuständigen Sicherheitsbehörden, wie die Polizei, über diesen Vorfall informiert und es wurde sofort mit den Untersuchungen begonnen. In seiner Funktion als zuständige Finanzaufsichtsbehörde wurde die Malta Financial Services Authority dementsprechend darüber informiert und über die weiteren Entwicklungen in diesem Fall weiterhin unterrichtet werden. Für Fragen wenden Sie sich bitte an die Novum Bank per E-Mail: novum.compliance@novumbankgroup.com Das Management Novum Bank Limited“ (sic! Falls sich jemand über das schlechte Deutsch wundert: das steht da so im Original… ob die Bank kein Geld für einen guten Dolmetscher hatte, wissen wir nicht).
Auch Mastercard-Prepaid betroffen?
Stellt sich zum Schluss die Frage: Ist das ein Einzelfall oder kommt da mehr? Betrifft es nur eine „kleine“ Bank, die zudem ja „nur“ in Malta sitzt und nicht in Deutschland – oder sind andere auch betroffen? Ist das Sicherheitsleck vielleicht gar zurückzuführen auf eine Banken-Standardsoftware im Zusammenhang mit dem von der Bank vertriebenen Produkt – der Mastercard-Prepaid? Immerhin schreibt die Novum Bank Ltd. auf Ihrer Website, das sie Mitglied bei Mastercard sei. Und es ist gängige Praxis, Softwarelösungen nicht Inhouse zu erbringen, sondern aus Kostengründen von externen Unternehmen zu beziehen – gibt
Mastercard solche Software an seine Mitgliedsbanken?
Tarnkappe.info