MasterCard-Prepaid von Bank-Sicherheitsleck betroffen?

Novum Bank Ltd security hole
Tausende Dokumente von Kunden der Novum Bank Limited sollen wegen eines Datenlecks im Umlauf sein. Fatal, denn „Mobiles Bezahlen“ verzeichnet rasante Wachstumszahlen. Ob mobile Aufladung von Prepaid-Handys, Prepaid-Kreditkarten oder Gutscheinkarten – für viele Kunden überzeugend sind Kostenkontrolle und fehlende Bonitätsprüfung. Banken und Kreditkartenfirmen freuen sich über große Geschäfte. Doch sie sind vor Datenlecks nicht gefeit. Jüngstes Beispiel: Novum Bank Ltd. – die am 26.02.2015 ein Datenleck zugeben musste.

Novum Bank limited mit Sitz in Malta ist nicht zu verwechseln mit der Novum Bank Komórek Macierzystych „nOvum“ in Warschau, Polen. Die Maltekische Novum Bank mit Tochterunternehmen in Rumänien, Niederlanden und im deutschen Oberursel bietet europaweit Zahlungsmittel wie die MasterCard-Prepaid-Karte. Vor allem in Deutschland erfreut sich das Produkt wachsender Beliebtheit. Die Karte können Kunden beinahe überall im Einzelhandel kaufen und nach Aktivierung beliebig oft aufladen via Barzahlung, Überweisung oder SMS. Der Betrag ist sofort verfügbar. Bequem, schnell und vor allem natürlich sicher – so dachten viele Kunden bisher. Das könnte sich ändern…

Kunden-Hinweis von Bank schlecht gedankt

Am 24.02.2015 erhielten wir von einem unbekannten Leser (thx an 0hman!) einen Hinweis auf ein Datenloch bei der Novum Bank Ltd. Bereits in der Vergangenheit haben wir immer wieder auf Datenlecks bei Firmen-Websites hingewiesen, nicht ohne fairerweise zuvor die Firmen über ihr Sicherheitsproblem zu informieren. Unser Leser schreibt uns: „… Die Lücke wurde von einem Hobbyprogrammierer (Anmerkung d.Red.: der Novum-Kunde ist und dies der Novumbank auch so) gemeldet, der anschließend von der Novum Bank Limited gesperrt und „vergewaltigt“ wurde, was Du bei Heise nachlesen kannst…“ Dazu findet man bei heise-online im Forum Special folgenden Eintrag, den unser Leser entdeckte:

Heise-Forum
23. Februar 2015 14:25 – Prepaid-Mastercard Sperre nach Meldung einer Sicherheitslücke – ellab – 1 Beitrag seit 23.02.15 … Ich bin selbständiger WebDeveloper und nenne mich selbst einen „kleinen Sicherheitsexperten“ ich habe wirklich Spaß daran Sicherheitslücken zu suchen, und wenn ich welche finde so ist mein erster Weg das Impressum der Webseite oder ein Kontaktformular um es zu melden. Ich bin seit einiger Zeit Kunde bei der Novum Bank Limited… und ich dachte, wieso nehme ich denn nicht mal die Webseite von der Bank in Augenschein, nach circa 10 Minuten fand ich eine Sicherheitslücke der Stufe Doppelrot (in meinen Augen) ich habe dann der Bank eine Mail geschrieben sie mögen mich bitte an einen Techniker weiterleiten aufgrund der schwerwiegenden Sicherheitslücke damit diese schnell gefixt wird, da ich nach einigen Stunden noch keine Antwort erhielt (sind normalerweise relativ schnell bei Mails) habe ich dann einfach dem Support die Sicherheitslücke in einer Mail gesendet mit der bitte sie weiterzuleiten. Nun 6 Stunden nachdem ich die Sicherheitslücke gemeldet habe wollte ich noch den Rest des Geldes auf meine Prepaid-Karte laden aber musste feststellen das meine Prepaid-Karte den Status „Gesperrt“ hat…

Professionelles Bank-Verhalten?

Mal abgesehen von der grundsätzlichen Peinlichkeit für eine Bank – denn wo eine Sicherheitslücke ist, stellt sich sofort die Frage nach weiteren. Erstaunlich ist die Dummheit, mit der manche Firmen handeln. Anstatt sofort auf Kundenmails zu antworten, lässt man erst mal Zeit verstreichen. Auch in diesem Fall musste der Kunde erneut seine Entdeckung mailen, bis er überhaupt ernst genommen wurde. Die dann folgende Reaktion ist bezeichnend: der Überbringer der schlechten Nachricht wird bestraft – nicht die Verantwortlichen der eigenen Sicherheits- und Softwareabteilung. Muss es erst einen Shitstorm geben, bevor Banker nachdenken? Richtig wäre ja wohl, sich beim Kunden zu bedanken für den Hinweis und dann so schnell wie möglich die Lücke zu schließen. Kundenbindung nennt man sowas. Die Bank kann über solche Kunden froh sein, denn sonst wäre die Lücke noch länger offen und der Schaden noch größer. Eigentlich müsste die Bank dem Kunden ein finanzielles Dankeschön (mit mehreren Nullen) auf seine Prepaidkarte laden, anstatt ihm diese zu sperren…

Für jeden frei zugängliche Bank-Kundendaten?

Zurück zu unserem Leser, der den Foreneintrag auf Heise entdeckte und sich so seine Gedanken dazu macht: „Ich konnte sie (die Kundendaten, Anm. d.Red.) mit wenig Glück selber finden und hab einfach mal die Dokumente an mich genommen ehe die Lücke gefixt wird, wirke auf jeden Fall seriöser als die Novum Bank Limited selber. Ausweise, Stromabrechnungen, Kontoauszüge, Aufenthaltstitel und so viele mehr … Wenn du dich bei Heise kurz durchgelesen hast ist hier die kurze Information zur Lücke die aber bereits gefixt wurde und zwar konnte man mit einer aktiven Session die Attachments aus dem „Kundenbereich“ von jedem Kunden Downloaden, dazu muss man den Wert der ID nach belieben erweitern. Bsp Link … Es sind mit Absicht nur Thumbnails in der Größe 200×200 damit niemand Unfug treiben kann. Ich besitze natürlich auch die Originalen die teilweise EXIF Daten enthalten! Proof gibts auf Anfrage!“ Und dann folgen 66 Dateien mit Fotokopien von Personalausweisen aus Deutschland, Italien, Spanien, Malta, Polen, Ungarn, Rumänien… Dazu Asyldokumente, Kreditkartenabrechnungen… – wohl gemerkt alles Klarnamen mit Adressen und Fotos! Wenn das meiner Bank passiert und dann meine persönliche Daten im Internet frei erhältlich sind – ich wechsle sofort die Bank. Banken können nur auf Kundenvertrauen bestehen, da muss dieser Vorfall ein Mega-Gau sein – eigentlich.

„Alles Prepaid – oder was?“

     

Das sagt die Bank dazu

Auf der Homepage von Jokerkartenwelt steht:

„Novum Bank Limited gibt eine Verletzung von Kundendaten bekannt:
– Eine begrenzte Anzahl von Kundenidentifikationsunterlagen im Zusammenhang mit unseren Kartengeschäften waren betroffen;
– Keine anderen internen Systeme oder andere branchenübliche sensiblen Daten waren hiervon betroffen. Auch sind keine Kartendaten, einschließlich PAN (Kreditkartennummer), CVC2 (Kartenprüfnummer), PIN Code und Gültigkeitsdatum davon betroffen. Guthaben bzw. Kundengelder auf den Karten sind hiervon ebenfalls nicht betroffen; Die Novum Bank Limited hat eine Verletzung innerhalb der Sicherheit zum Schutz der Kartenproduktwebseiten festgestellt. Dies kann zu unbefugte oder unsachgemäße Verwendung der Kundenidentifikationsunterlagen führen welche während des Kundenüberprüfungsprozesses bereitgestellt wurden. Die Novum Bank kontaktiert alle Kunden deren Dokumente hiervon beeinträchtigt gewesen sein könnten. Datensicherheit nimmt die Novum Bank sehr ernst. Natürlich haben die Datensicherheitsexperten der Novum Bank sofort die Sicherheitslücke geschlossen um eine Wiederholung zu verhindern. Es wurden die zuständigen Sicherheitsbehörden, wie die Polizei, über diesen Vorfall informiert und es wurde sofort mit den Untersuchungen begonnen. In seiner Funktion als zuständige Finanzaufsichtsbehörde wurde die Malta Financial Services Authority dementsprechend darüber informiert und über die weiteren Entwicklungen in diesem Fall weiterhin unterrichtet werden. Für Fragen wenden Sie sich bitte an die Novum Bank per E-Mail: [email protected] Das Management Novum Bank Limited“ (sic! Falls sich jemand über das schlechte Deutsch wundert: das steht da so im Original… ob die Bank kein Geld für einen guten Dolmetscher hatte, wissen wir nicht).

Auch Mastercard betroffen?

Stellt sich zum Schluss die Frage: Ist das ein Einzelfall oder kommt da mehr? Betrifft es nur eine „kleine“ Bank, die zudem ja „nur“ in Malta sitzt und nicht in Deutschland – oder sind andere auch betroffen? Ist das Sicherheitsleck vielleicht gar zurückzuführen auf eine Banken-Standardsoftware im Zusammenhang mit dem von der Bank vertriebenen Produkt – der Mastercard-Prepaid? Immerhin schreibt die Novum Bank Ltd. auf Ihrer Website, das sie Mitglied bei Mastercard sei. Und es ist gängige Praxis, Softwarelösungen nicht Inhouse zu erbringen, sondern aus Kostengründen von externen Unternehmen zu beziehen – gibt Mastercard solche Software an seine Mitgliedsbanken?

Themen: Netzpolitik & digitales Leben.

Vielleicht gefällt dir auch

13 Kommentare

  1. Marie B. sagt:

    Ich bin verzweifelt .. Ein Mastercard-Kunde der Novum Bank hat von meinem Girokonto zwei schriftliche Überweisungen ausführen lassen (319+95 Euro) !! ,, Ich bin weder Novum Kunde, noch besitze ich überhaupt eine Kreditkarte !! .. Nach allem was ich jetzt im Net so lese wird mir himmelangst, ob ich mein Geld überhaupt wieder kriege :-( .. Ich bin Postbank-Kundin und die haben trotz meiner mehrmaligen Mail-Kontaktaufnahme nach über einer Woche nichts getan :-( .. Wenn man bei der Postbank anruft wird nur alles immer ständig weitergeleitet und man bekommt keinen direkten Ansprechpartner :-( .. Wenn es jetzt auch noch solche Schwierigkeiten innerhalb der Novum-Bank gibt, dann werde ich kleine Rentnerin wohl das Geld verlieren :-( .. Man findet im Net nicht einmal eine anständige Telefonnummer der Novum-Bank in Deutschland. .. Kann mir jemand so eine Telefonnummer sagen ? .. lg Marie

    • Maria sagt:

      Leider sollen Sie hinten Ihrer Geld rennen. Welche Transaction Beschreibung haben Sie? Vielleicht fäng mit SKR*NIE… an? Falls ja, sollen Sie bei der Polizei Anzeige erstatten. Sie können vielleicht weiter helfen.

    • Maria sagt:

      Könnten Sie vielleicht mit Markt mischt sich ein (NDR) kontaktieren. Als Rentnerin könnten Sie vielleicht eine Chance haben…

      • Marie B. sagt:

        Vielen lieben Dank für Ihre Tipps, Maria :-) .. Die Transaktions-Beschreibung war nur „Überweisung neutral“ .. Habe aber inzwischen schon einen Teil der Summe von der Novum-Bank zurück bekommen :-) .. Den Rest zahlt meine Bank mir zurück :-) .. Die Anzeige bei der Polizei mache ich morgen, Montag .. Hoffentlich schaffe ich das, bin mit den Nerven am Ende.

  2. Maria sagt:

    Mastercard sind auch leider betroffen . Und die Kunden werden leider allein gelassen . Jemand in England hat Geld vom meine Karte abgehoben (ich kenne kein Mensch da), und ich muss selber finden wie ich es wieder zurück bekomme (weil ich Inhaberin von die Karte bin).Kundenservice ist nicht hilfreich. Zeit und Geld verlust.

  3. Manuel Bonik sagt:

    Ich habe auch schon mal versucht, meine Bank auf Sicherheitsdefizite hinzuweisen, und keine Antwort gekriegt. Es ging nicht direkt um eine Sicherheitslücke, sondern nur darum, warum sie ihre MobileTANs nicht case sensitive verschlüsseln, also mit Unterscheidung zwischen Groß- und Kleinbuchstaben.

    Ein Problem ist wohl, dass das Herz vieler Bankensysteme uralt ist, noch in Assembler o. ä. programmiert, und dass sie dafür kaum noch Programmierer kriegen. Damit wird es dann schwierig oder gar unmöglich, am Gesamtsystem was zu ändern.

    • Perseus sagt:

      Danke. Das ist interessant! Würde also heissen die Bank fährt aus Kostengründen die alten Programme weiter und nimmt das Risiko bewusst in Kauf anstatt es zu minimieren.

      • Manuel Bonik sagt:

        Mit Kosten lässt sich da viel, aber nicht alles erklären. Es geht auch um Programme, die die „digital natives“ nur vom Hörensagen kennen. Nichts mit Klicken oder Wischen, sondern richtig digital: Nullen und Einsen.

      • deubacoba sagt:

        Welches Risiko denn? Risiken werden bei Banken im PBC in MEU auf Transaktion bewertet. Wenn jemand Lars‘ Dispo ausreizen würden, dann ist das ein Problem für den zuständigen Mitarbeiter (der kann seinem Bonus hinterherweinen, wenn er das nicht geregelt bekommt), gegen den Ausfall hat sich die Bank ohnehin versichtert.

    • deubacoba sagt:

      Die Herzen aller Banksystem für das Fußvolkbanking sind von jeher Mainframes. Da geht es neben dem Thema Performance hauptsächlich um Anlaufsicherheit, automatische Fehlervermeidung, -findung und korrektur.

      Eine Verlagerung der PBC Prozesse mach aber nur dann Sinn, wenn die Kosten auch an die Kunden weitergegeben werden können. Gerade im Transaction-Banking haben wir uns als Kunden (und damit meine ich auch die Geschäftskunden) an effektive Buchungskosten unterhalb der 0,1 Cent Grenze gewöhnt. Das funktioniert aber nur auf diesen Blechen. Das macht die Hinentwicklung der Backends zu eine veränderte Kundenlandschaft und eine anderes Kundenverhalten eigentlich vollkommen unsinnig.

      Den Unsinns kann man sich bei den Direktbank-Töchtern anschauen, da werden x-unterschiedlichen Interface-Systeme aufgesetzt um dem Kunden das Jahr 2015 vorzugaukeln, während es auf Transaktionsebene immer noch 1980 ist. Die Technik und das Blech sind dabei noch nicht mal uralt, sie sind eher sehr speziell.

      Neben der Technik (zu 50% RACF – irgendwo muß Big Blue auch Kohle machen) ist ein noch größeres Problem die Prozesslogik, die in den Mainframe und Hostsysteme steckt. Wenn es jemand gibt, den eine Bank noch weniger mag als die eigene Kunden, dann sind es die eigenen Mitarbeiter. In den Systemen sind alle notwendigen Checks & Balances eingearbeitet. Diese nachzubauen, falls es noch einen Senioren gibt, der weiß wo das Handbuch dazu liegt, ist bislang die Hürde an denen alle gescheitert sind. Damit ist eigentlich nur die SAP gemeint, die zeit bald Jahrzehnten versucht in ihrem Banking Modul die allgemeinen GVOs, so abzubilden, daß sie nicht gleich beim Hereinkommen wieder rausfliegen.

      Davon Abgesehen, was soll denn die Groß- und Kleinschreibung großartig an Sicherheit bringen? Die Lücken sind doch beim TAN Banking nicht die Daten die übertragen werden, sondern die Übertragung derselben von einer nicht näher spezifizierbaren Umgebung in eine sichere Umgebung bzw. zuerst in der anderen Richtung.

      • Manuel Bonik sagt:

        Du meinst, dass case sensitive die Sicherheit nicht erhöht?

        • deubacoba sagt:

          Ja und nein. Eine höhere Komplexität des TAN-Codes, etwas durch Groß- und Kleinschreibung macht den Code schwerer zu knacken. Das Problem liegt aber im Gesamtprozess, Code wird von A nach B übertragen, B beauftragt A Transaktion T auszuführen, dazu wird Code von B nach A übertragen. Danach wandelt A Code in vorgelagerten Systeme bedarfsgerecht um bevor T tatsächlich im Backend ausgeführt wird. Je nachdem, wo der potentielle Bösewicht hockt ist es viel einfacher sich in bzw. an die Kommunikatiosschritte zu klemmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.