FINTECH7. August 2019

Fidor-Bank: Sicherheitslücke in der Community – E‑Mail-Adressen von Bankkunden auslesbar

Fidor Bank

Die Fidor-Bank hatte offenbar bis vor Kurzem eine Sicherheitspanne, die die Banking-Community betraf. Dabei waren die E-Mail-Adressen der Community-Teilnehmer (und nicht nur deren Nicknames, wie es eigentlich sein sollte) im Klartext als Teil des HTML-Codes im Frontend sichtbar. Und das sei, so der Anwender, der auf die Sicherheitslücke aufmerksam machte, über Monate so gewesen – eine Erkenntnis, die wir bestätigen können.

Offenbar wurde am vergangenen Wochenende der Bug durch die Fidor-Bank beseitigt, jedoch waren auch diese Woche die Mail-Adressen über eine einfache Routine weiterhin recherchierbar. Und auch nachträglich kann man die Mail-Adressen früherer Versionen der Forumsseiten rekonstruieren. Mit einem E-Mail-Grabber oder einer anderen Automatisierungslösung hätte ein Angreifer so problemlos tausende interessante Mail-Adressen von finanz-affinen Anwendern sammeln können – und kann es aus den Archivseiten auch jetzt noch. Auch der Missbrauch der Adressen für Phishing-Aktionen wäre gut möglich gewesen – schließlich ist der dazugehörige Forumsname ebenfalls dabei und es ist klar, dass es sich bei vielen Nutzern um Betreiber von Konten bei der Fidor-Bank handelt.

Wir können bestätigen, dass es auf der Webseite der Fidor Community kurzzeitig ein Problem mit unverschlüsselten E-Mail-Adressen im Quellcode der Community gegeben hat, das aber inzwischen behoben wurde. Dieser Vorfall wurde unverzüglich binnen der gesetzlichen Fristen der zuständigen Landesdatenschutzbehörde gemeldet.”

Fidor-Bank auf Anfrage von IT Finanzmagazin

Zugangsdaten und Bankinformationen nicht betroffen

Bezüglich weiterer Daten, etwa Bankdaten oder sonstige Zugangsdaten, kann vermutlich (und auch nach Aussage der Fidor-Bank) Entwarnung gegeben werden – diese waren davon nicht betroffen. Doch der Begriff „kurzfristig“, den die Fidor-Bank gebraucht, ist recht dehnbar. Die Lücke dürfte über mehrere Monate bestanden haben, nachdem es einen Relaunch im Frühjahr gab – zumindest finden sich auch bereits Abfragen vom 18. April, die offen die Mail-Adressen zeigen. Die Bank erklärt leider nicht näher, was sie unter „kurzfristig“ versteht.

Für Fidor ist das nicht die erste Schwäche, die man sich gegenüber den Kunden leistet. Schlechte Erreichbarkeit im letzten Jahr, die auch der ehemalige CEO nicht leugnete (aber erklärte, man habe dies inzwischen unter Kontrolle, was zahlreiche Kunden freilich anders sehen), Probleme bei der Zahlungsabwicklung und Wachstumsschmerzen, wie sie im Segment der Neobanken nicht unüblich sind, finden hier ihre Fortsetzung. Wenig souverän auch der Umgang mit dieser Panne und dem Überbringer der schlechten Nachricht: Nachdem im Forum über die Lücke berichtet worden war und der Nutzer, der dies herausgefunden hat, die Fidor um Stellungnahme gebeten hatte, verschwanden die dazugehörigen Informationen und der dazugehörige Thread wieder schnell – gelöscht durch Fidor.

Sichtbare Wachstumsschmerzen auch bei Fidor

„Was unser Haus als schwierig erachtet, ist die Tatsache, dass Hinweise aus unserer Kundschaft nicht direkt an unser Haus artikuliert werden, sondern einer breiten Masse im Rahmen eines Leaks zur Kenntnis gebracht werden sollen”, erklärt die Fidor-Bank auf Anfrage. Der Nutzer erklärt dagegen, er habe im Vorfeld auch einzelne Moderatoren persönlich und nicht forumsöffentlich kontaktiert, aber keine befriedigende Antwort erhalten. Die Aussage der Fidor-Bank „unsere kritischsten Kunden, sind unsere besten Unterstützer. So sind wir über jeden Hinweis aus den Reihen unserer Kundschaft natürlich dankbar und fördern entsprechende Aktivitäten“ kann er daher nicht nachvollziehen oder bestätigen. Es werde schnell zensiert, auch bei langjährigen Community-Mitgliedern mit hoher Reputation (Karma-Punkten), der Ton sei rau, einige der Moderatoren schrecken offenbar auch vor polizeilicher Anzeige wegen Verleumdung nicht zurück, so lauten die Vorwürfe.

Dennoch ist auch der Nutzer kein Unbekannter bei der Fidor-Bank und in der Community. Er erklärt, dass ihm nach Meinungsverschiedenheiten im Forum vor einigen Monaten (es ging dabei um das IT-Chaos Anfang April, bei dem die Fidor-Bank in der Kundenkommunikation keine sonderlich gute Figur machte) sowohl sein Konto gekündigt worden sei. Zum diesbezüglichen Zusammenhang sagt Fidor naturgemäß nichts – zu einzelnen Konten oder zum Verhalten unserer Kundschaft im Rahmen der Geschäftsbeziehung will man keine Auskunft geben… um dann aber doch nochmal auszuteilen:

Datenschutz hat für die Fidor Bank oberste Priorität (…). Dazu gehört auch die Privatsphäre unserer Community-Mitglieder, die sich durch das Eingreifen dieses Kunden sichtlich gestört sah.”

Fidor-Bank auf Anfrage von IT-Finanzmagazin

Immerhin, den Frieden und die Ruhe in der Community will man offenbar schnell wieder herstellen. Dass es nicht vernünftig ist, den Überbringer der schlechten Nachricht zu köpfen, wusste man indes schon in der Antike. tw

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/92971

11 Antworten auf "Fidor-Bank: Sicherheitslücke in der Community – E‑Mail-Adressen von Bankkunden auslesbar"

ITGeek sagt:

7. August 2019 um 11:20 Uhr

Von welchen Archivseiten ist die Rede? WayBack jedenfalls zeigt da nichts an.
Frag mich wieso jemand der sowas erkennt nicht direkt den Betreiber darüber informiert.

Habe auch erst vor kurzem mitbekommen, dass meine E-Mail Adresse bei Dropbox und anderen Diensten schon vor Jahren mal geleakt wurde. Aber eine neue Anlegen bringt ja eh nichts, das ist wohl ein gängiges Phänomen im Netz.

Antworten
1. ITGeek sagt:
  
  7. August 2019 um 12:16 Uhr
  
  Ah die erste Aussage ziehe ich zurück *blind*. Aber ob es so gut ist das gleich so zu verbreiten?
  
  Antworten
U.Krone sagt:

7. August 2019 um 11:29 Uhr

Das was ich hier schildere kann man hunderfach in den passenden Foren und Gruppen nachlesen. Ja,ja die Fidor. War über 4 Jahre Kunde. Konto war im plus. Konto wurde als Zweitkonto geführt, getreu dem Werbeversprechen von vor ca 5 Jahren “Ihr gratis Zweitkonto”. Von heute auf morgen die Kündigung, ohne Angabe von Gründen, keine postalische Kündigung erhalten. Das Konto war plötzlich AUFGELÖST, merkte ich erst als ich bezahlen wollte und meine Karte nicht mehr ging. Ich rief die Hotline an welche mir sagte es sei alles OK (obwohl das Konto schon aufgelöst war). Die Hotline sagte ich soll den “Kundenservice” anschreiben. Tat ich. Dort bekam ich dann nach Tagen und erst auf eine ca 10 Mail die erste Antwort. Ich hätte eine Mail mit der Kündigung erhalten. Habe ich nicht, weder per Mail, noch im Spamfilter, noch in meinem Onlinebanking. Jetzt streite ich mich seit fast 2 Monaten mit denem über mein Restguthaben, welches ich immer noch nicht habe. Fidor ist nicht gewillt mir eine einfachen V-Check an meine bekannte Adresse zu schicken. Ich bin nicht gewillt der Bank meine Bankdaten zu geben, vor allem nicht vor dem Hintergrung der erneuten lange bekannten Sicherheitslücke. Ist ja nicht der erste Fail den die sich Sicherheitstechnisch leisten! Und wie schon erwähnt,man dan das dutzendfach nachlesen das die so vorgehen.

Antworten
1. JayB sagt:
  
  7. August 2019 um 14:32 Uhr
  
  Das halte ich für sehr unwahrscheinlich, dass die Bank das Konto aus dem Nichts kündigt. Da werden wohl einige Dinge im Argen liegen ;-)
  
  Antworten
  1. TF sagt:
    
    7. August 2019 um 15:08 Uhr
    
    Ich kann bestätigen, dass die Bank das Konto aus dem Nichts kündigt. Ich bin auch betroffen. Ja, Dritte (womöglich auch die Schufa) mögen denken, dass da etwas „im Argen lag“. Aber ich kann versichern, ich selbst habe sehr gut verdient, keine Pfändungen etc. Ich halte solche Kündigungen (auch Geschäftsleute sind betroffen) für rufschädigend.
    
    Es gibt recht viele Rezensionen im Internet dazu. Scheinbar wird auch vermehrt den Kunden gekündigt, die sich berechtigt „beschweren“ oder bei denen es „ungerechtfertigt“ einen Verdacht auf Geldwäsche gab.
    
    Antworten
anonym sagt:

7. August 2019 um 12:09 Uhr

Ich habe dem Finanzmagazin eine längere Nachricht zu diesem Artikel geschrieben.

Antworten
Hansi sagt:

7. August 2019 um 16:47 Uhr

Serwohl kündigt die Bank einfach den Onlinezugang und läßt einen im Regen stehen. Es war mein einziges Konto zu diesem Zeitpunkt und alle Zahlungen gingen ins Leere. Zusätzlich hatte ich Edelmetalle als Anlage gekauft und konnten nicht mehr darauf zugreifen.
Jahrelang keine Reaktion von Seiten der Fidor. Plötzlich überwiesen sie mir das Geld aus dem Verkauf, natürlich zu tiefsten Preisen.
Der Grund für dieses Verhalten, war wohl, dass ich dem Vorstand immer wieder die Fehler der Bank öffentlich mitteilte, mittels Kundenforum und es waren keine so harmlose Fehler wie hier geschildert.

Antworten
MadameCurie sagt:

7. August 2019 um 17:12 Uhr

MadameCurie

wer Kommunikation mit den Kunden wünscht, sollte sie auch wollen.
(Löschungen der Anfragen zu o.g. Thema und Hinweisen, keine Deeskalation, Verunglimpfung des Informierenden, keine Information zur Gefährdung der Kunden durch IT-Panne trotz Nachfragen).

Der o. g. Beitrag informiert zutreffend. Leider. Eine hoffnungsvoll gestartete Bank geht im Moment keinen hoffnungsvollen Weg.

Antworten
Hans Maulwurf sagt:

7. August 2019 um 19:19 Uhr

Die geleakten E-Mail-Adressen sind gleichzeitig der Benutzernahme für den Login ins Fidor Online-Banking. Fidor müsste eigentlich unverzüglich alle Nutzer informieren und auffordern, eine andere E-Mail-Adresse für den Login zu benutzen. Noch besser wäre es, wenn der Login überhaupt nicht mit einer E-Mail-Adresse erfolgen würde sondern mit einer frei wählbaren Nutzer-ID.

Antworten
1. TF sagt:
  
  7. August 2019 um 22:01 Uhr
  
  Es gibt auch Communitymitglieder ohne Bankkonto. Ich sehe in der Community nirgends eine Funktion zur Änderung der E-Mail-Adresse. Im Onlinebanking Portal gibt es tatsächlich eine solche Funktion.
  
  Antworten
MK sagt:

10. August 2019 um 9:25 Uhr

Die Daten sind nicht nur im Webarchive, sondern auch im GoogleCache. Ich möchte hier keine Links dazu veröffentlichen.

Die Fidor hat die Kunden bisher nicht über das Sicherheitsleck informiert. Jeder Beitrag diesbezüglich in der Community wird sofort zensiert. Die Sache wird unter den Teppich gekehrt.

Antworten

Fidor-Bank: Sicherheitslücke in der Community – E‑Mail-Adressen von Bankkunden auslesbar

Zugangsdaten und Bankinformationen nicht betroffen

Sichtbare Wachstumsschmerzen auch bei Fidor

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Crypto Assets Conference

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin