MasterCard-Prepaid: Interview zu Sicherheitsleck

 

Zu unserem Artikel „MasterCard-Prepaid von Bank-Sicherheitsleck betroffen?“ gab es einige Reaktionen. Mit einem Informanten konnten wir ein E-Mail-Interview führen. Interessant für alle, die überlegen ob sie sich eine Prepaid-Kreditkarte zulegen sollen!

Frage: ohman, wir danken Dir für den Hinweis – und das Interview! Du bist der Leser, der uns am 24.02.2015 per E-Mail über diesen Fall informierte. Auf Heise online hast Du einen Foren-Eintrag gelesen von einem Kunden der betroffenen Bank in Malta, der diese Bank auf ein von ihm entdecktes Sicherheitsloch hinwies. Anstatt einer Antwort fand er darauf sein Bank-Kartenkonto gesperrt vor. Daraufhin hast Du Dich auf der Webseite der Bank mal umgesehen…
Antwort: Ja, wie ich schon sagte konnte ich die Kundendaten dort selber finden und hab einfach mal die Dokumente an mich genommen ehe die Lücke gefixt wurde. Ausweise, Stromabrechnungen, Kontoauszüge, Aufenthaltstitel und vieles mehr … Jetzt ist die Lücke zu, aber vorher konnte ich mit einer aktiven Session die Attachments aus dem Kundenbereich von jedem Kunden downloaden, dazu musste man nur den Wert der ID nach belieben erweitern. So bekam ich die Dumps.

Heise-ForumFrage: Was ist ein Dump?

Antwort: Ein Dump ist z.B. eine Kopie der Datenbank nicht unbedingt auf bsp. Kreditkarten bezogen, der Inhalt ist relativ (hier ein durch x zensiertes Beispiel: ccn: 5339xxx6185xxx1 / validdate: 01/18 / securitynumber: xx / serialnumber: 927610100035xxxx / status: closed). Das was ich dir eben nannte sind alle Daten die sich auf der Kreditkarte befinden. Würde man das nicht zensieren, könnte man damit im www shoppen gehen. Aber die Karte hatte den Status gesperrt also wird keine Zahlung durchgehen.

Frage:  Die Bank schreibt: – „Keine anderen oder marktsensiblen Daten wurden preisgegeben. Keine Kartendaten, einschließlich PAN, CVC2, PIN und Ablaufdatum wurden preisgegeben. Kundenfonds waren nicht betroffen..

Antwort: Nun, ich habe die kompletten Kreditkartendaten. Ein Teil ist im Internet bei buycheaper.cc zu sehen. Bis vor wenigen Tagen war auch das Ablaufdatum, die CVC2 sowie die PIN in den Tabellen zu finden ohne irgendeine Art von Verschlüsselung. Nur die Passwörter scheinen salted zu sein aber das wars auch. Das mit der PAN ist aber korrekt von der Bank, ich hab keine Ahnung was das ist und ich finde diese auch nicht in der Datenbank.

BankleakFrage: Kann jemand mit den Daten die Du hast ein Prepaid-Konto leeren?

Antwort: Ja man kann ganz einfach die Daten bei einem Online-Shop bei der Bezahlmethode „Kreditkarte“ eintragen und damit shoppen, da die Karten KEIN Mastercard-Securecode-Verfahren haben. Dadurch kann man ein Passwort für Zahlungen setzen, daher sind Bezahlungen damit so simpel wie die Stufe 1 bei Tetris.

Frage: Ist das ein Datenloch aufgrund eines Hacks oder eines Softwarefehlers?

Antwort: Ganz klar ein Softwarefehler, man konnte fremde Attachments einfach laden. Aufgrund des Softwarefehlers konnte man eine Shell hochladen und sie wie alles andere auch online aufrufen und in den Pfaden rumsurfen.

Frage: Wie viele Personen-Daten hast Du und wie viele vermutest Du waren insgesamt abgreifbar?

Antwort: Allein die persönlichen Dokumente sind von knapp 1000 verschiedenen Bankkunden. Ich denke das ich die komplette Bank-Datenbank über die Shell laden konnte. Ich bin mir aber nicht sicher, die Tabelle user_ hat 8422 Zeilen also 8422 verschiedene Accounts (man kann mehrere Prepaid-Kreditkarten einem Account hinzufügen).


Anzeige

Frage: Weisst Du wie viel Geld die Leute auf Ihrer Prepaidkarte aktuell hatten? Oder im Durchschnitt?

Antwort: Da sind User mit 1 Euro aber auch welche mit mehreren Tausend, ich habe deutsche Kontoauszüge (z.B. Sparkasse Battenberg 21.01.2015 Kunde T.H.) von Privatpersonen mit Überweisungen an die Bank.

Frage: Wie hast Du das Loch wo gefunden auf welcher Webseite der Bank, mittels einer Software?

Antwort: Ich habe den Beitrag auf Heise verfolgt und wusste direkt wo die Lücke ist nachdem der User dort sagte dass man Zugriff auf fremde Dokumente hat. Es war halt lustig das man .php und sonstige Daten dort über das Formular hochladen konnte und online aufrufen kann, selbst eine mp3 Datei konnte man hochladen und bei belieben downloaden oder streamen.

Frage: Es gibt ja noch andere Mastercard-Prepaid-Anbieter, besteht bei denen dieselbe Gefahr? Haben die vielleicht sogar dasselbe Datenloch jetzt aktuell offen?

Antwort: Natürlich besteht die Gefahr bei jedem Anbieter oder jeder Bank das dort ohne eine oder mehrere Sicherheitslücken existieren die man ausnutzen kann. Man muss eben nur wissen wie und wo. 100%ige Sicherheit gibt es nicht.

width=

ihre Werbung auf Tarnkappe – Infos

Frage: Weisst Du von ähnlichen Lecks bei Paypal oder anderen populären Zahlungsanbietern?

Antwort: Eigentlich nicht. Wobei Paypal mit ihren Aktionen doch immer negative Schlagzeilen machen. Da würde ein Hack und das Entwenden der Kundendaten keine große Welle schlagen weil es am Ende nur eine Frage der Zeit ist :D

Frage: Kann man ein Ranking machen und sagen: das Risiko ist am geringsten bei xy?

Antwort: Ein Ranking ist schwer, natürlich sind Anbieter in Deutschland sicherer weil sie eventuellen Schaden ihrer Kunden rückgängig machen. Das Phisen von Kreditkarten-Daten ist mittlerweile so einfach das es einen Überschuss an Angeboten im Internet gibt. Wirklich sichere Anbieter von Kreditkarten (ob Prepaid oder Credit) sind z.B. jene die beim setzen des Secure 3D / Verified by Visa Daten vom Kunden verlangen, die man normalerweise nicht Phist wie z.B. eine selbstdefinierte Frage/Antwort oder eine Kundennummer. Doch der größte Teil verlangt lediglich Ablaufdatum, Geburtsdatum und die Kontonummer welche von den Personen immer angegeben wird weil sie sich dabei nichts denken. Prepaidtechnisch wäre die Bank auf den letzten Platz weil ihre Karten das Secure 3D bzw. Verified by Visa Verfahren gar nicht besitzen. Also es gibt da keinen wirklichen Schutz vor Betrug. Würde ich bsp. eine Karte von denen aus dem Sicherheitsloch belasten und es würden dann 100 € dem wirklichen Besitzer fehlen, glaube ich nicht das diese Bank den Schaden übernimmt. Denn jeder Einzelne ist ja selber dafür verantwortlich, seine privaten Daten zu schützen und keinem dritten die Kreditkartendaten zu geben.

„Alles Prepaid – oder was?“

     

Frage: Dein Tipp für Leute, die sich eine Prepaid-Kreditkarte anschaffen müssen? Oder generell Finger weg?

Antwort: Wenn sich jemand eine Kreditkarte anschaffen will, soll er schauen welche Bank das mTan Verfahren nutzt. Das ist im Moment mit das sicherste aus meiner Sicht, was aber nicht bedeutet dass ein Fremder damit nichts anrichten könnte. (Die Red.: So ist es! Hinweis von Bob, thx: mTan-Verfahren ist Unsicher, da man mit einem infizierten Handy die Tan-Nummern abgreifen kann! Vor allem wenn das Handy gleichzeitig für Banking UND mTan genutzt wird. Besser ist (noch) das Smart-Tan-Verfahren weil man die EC-Karte und den Smart-Tan-Generator braucht und der Tan mit einem Flickercode generiert wird. Aber auch dazu sagt das BKA: es ist nur eine Frage der Zeit bis Smart-Tan ebenfalls angegriffen wird…)

Frage: Kann ich als Kunde überhaupt erkennen, welcher Anbieter seriös ist und bei wem mein Geld eher in Gefahr ist?

Antwort: Banken die eine Rechtsform als Limited haben und eine ne Banklizenz in Malta, sind halt kleine Geschäftsleute die irgendwie im Bankensystem ein paar Euro verdienen wollen. Geht die Firma den Bach runter, dann ist sie weg und wird nicht gerettet wie eine Bank in Deutschland. Ich würde bei Prepaidanbietern eine in Deutschland suchen. Ich denke das solche Banken in erster Linie auch nur dafür gedacht sind Geld zu waschen, ich kenne so einige die ihr illegales Geld über diese Bank wäscht. Aber im Allgemeinen gilt: sobald dein Geld bei einer Bank ist, ist es in Gefahr – ob in Nigeria oder Kanada … Banken werden immer unseriöser!

IT securityFrage: Fällt Dir zur ganzen Sache noch etwas anderes ein, was wichtig ist?

Antwort: Gerade nicht weil ich in deren Datenbank herum schnüffel und schaue was es da so Feines gibt. Was man vielleicht noch erwähnen/machen könnte ist der Heise-User mit dem ich E-Mail Kontakt aufgenommen habe. Er versucht seit Tagen eine Antwort zu erhalten von der Bank. Aber nicht einmal eine E-Mail schreiben sie zurück. Vielleicht könnt ihr euch ja mal bei dem Verein melden und nach einem allgemeinen Statement fragen. Das wäre vielleicht gut auch wenn ich nicht denke dass ihr eine Antwort erhaltet.

Frage: Die Bank gibt im Internet folgenden Kommentar – was ist dazu zu sagen?

Antwort: Punkt 1: es sind sämtliche Kundenidentifizierungsunterlagen bis einschließlich 25.02.2015 vorhanden. Punkt 2: ich hab ja Kreditkarten-Daten ihrer Kunden schon zensiert veröffentlicht auf buycheaper, also kann sich jeder seine Meinung bilden … – vielleicht schreiben sie das, um noch mehr Schaden abzuwenden? Ich glaub auch ehrlich nicht dass die Bank in Malta der Polizei oder der Aufsichtsbehörde dort die Wahrheit gesagt hat. Mein Englisch-Jargon für das Bankenwesen reicht nicht aus um mal kurz bei der Malta Financial Service anzurufen und nachzufragen. Vielleicht macht das jemand anderes und berichtet hier davon? Aber ich bin mir aus unerklärlichen Gründen sicher das die da versuchen Ärger abzuwenden und nur das erzählt haben was auch auf der Webseite steht (wen interessieren schon die Dokumente von tausenden Kunden solang das Geld und die Daten allgemein sicher sind).

Frage: Die Mastercard-Predpaid ist ja an sich eine gute Idee. Müsste nicht Mastercard aus eigenem Interesse für ihre Mitgliedsbanken strengere Sicherheitsvorschriften machen?

Antwort: Mastercard ist das eigentlich relativ egal, wie die Franchise-Unternehmen (Burger King o.ä.) passiert erst etwas nachdem es mächtig knallt. Vorher ist es denen völlig egal wobei ich aber auch gar nicht weiss inwiefern die betroffene Bank mit Mastercard zusammenarbeitet. Ich kenne das Gebilde dahinter nicht und denke das der Schaden von der Bank aufgefangen werden muss. Es langen kleine Änderungen bei den Kreditkarten und sie wäre um Längen sicherer aber das wären zusätzliche Ausgaben für Mastercard/Visa/Amex/WasauchimmerKreditkarte. Und die will niemand tragen denn Ausgaben sind Gift! Vermutlich verdienen sie sogar noch mit bei Kreditkartenbetrug über die Versicherung – aber auch das weiss ich nicht genau.

Anmerkung: Leser-Hinweise, Informanten-Tipps & Gastartikel sind bei uns willkommen – einfach unter Kontakt melden.

Themen: Netzpolitik & digitales Leben.

Vielleicht gefällt dir auch

Ein Kommentar

  1. ElPer sagt:

    PAN = Primary Account Number. Bei den Kontonummern auf der ehem. EC-Karte die Kontonummer zzgl. einer Prüfziffer. Bei der Kreditkarte müsste die PAN ? der Kartennummer sein, falls es bei CC überhaupt PANs gibt, was ich bezweifle.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.