Fidor-Bank: Sicherheitslücke in der Community – E‑Mail-Adressen von Bankkunden auslesbar
Die Fidor-Bank hatte offenbar bis vor Kurzem eine Sicherheitspanne, die die Banking-Community betraf. Dabei waren die E-Mail-Adressen der Community-Teilnehmer (und nicht nur deren Nicknames, wie es eigentlich sein sollte) im Klartext als Teil des HTML-Codes im Frontend sichtbar. Und das sei, so der Anwender, der auf die Sicherheitslücke aufmerksam machte, über Monate so gewesen – eine Erkenntnis, die wir bestätigen können.
Offenbar wurde am vergangenen Wochenende der Bug durch die Fidor-Bank beseitigt, jedoch waren auch diese Woche die Mail-Adressen über eine einfache Routine weiterhin recherchierbar. Und auch nachträglich kann man die Mail-Adressen früherer Versionen der Forumsseiten rekonstruieren. Mit einem E-Mail-Grabber oder einer anderen Automatisierungslösung hätte ein Angreifer so problemlos tausende interessante Mail-Adressen von finanz-affinen Anwendern sammeln können – und kann es aus den Archivseiten auch jetzt noch. Auch der Missbrauch der Adressen für Phishing-Aktionen wäre gut möglich gewesen – schließlich ist der dazugehörige Forumsname ebenfalls dabei und es ist klar, dass es sich bei vielen Nutzern um Betreiber von Konten bei der Fidor-Bank handelt.Wir können bestätigen, dass es auf der Webseite der Fidor Community kurzzeitig ein Problem mit unverschlüsselten E-Mail-Adressen im Quellcode der Community gegeben hat, das aber inzwischen behoben wurde. Dieser Vorfall wurde unverzüglich binnen der gesetzlichen Fristen der zuständigen Landesdatenschutzbehörde gemeldet.”
Fidor-Bank auf Anfrage von IT Finanzmagazin
Zugangsdaten und Bankinformationen nicht betroffen
Bezüglich weiterer Daten, etwa Bankdaten oder sonstige Zugangsdaten, kann vermutlich (und auch nach Aussage der Fidor-Bank) Entwarnung gegeben werden – diese waren davon nicht betroffen. Doch der Begriff „kurzfristig“, den die Fidor-Bank gebraucht, ist recht dehnbar. Die Lücke dürfte über mehrere Monate bestanden haben, nachdem es einen Relaunch im Frühjahr gab – zumindest finden sich auch bereits Abfragen vom 18. April, die offen die Mail-Adressen zeigen. Die Bank erklärt leider nicht näher, was sie unter „kurzfristig“ versteht.
Für Fidor ist das nicht die erste Schwäche, die man sich gegenüber den Kunden leistet. Schlechte Erreichbarkeit im letzten Jahr, die auch der ehemalige CEO nicht leugnete (aber erklärte, man habe dies inzwischen unter Kontrolle, was zahlreiche Kunden freilich anders sehen), Probleme bei der Zahlungsabwicklung und Wachstumsschmerzen, wie sie im Segment der Neobanken nicht unüblich sind, finden hier ihre Fortsetzung. Wenig souverän auch der Umgang mit dieser Panne und dem Überbringer der schlechten Nachricht: Nachdem im Forum über die Lücke berichtet worden war und der Nutzer, der dies herausgefunden hat, die Fidor um Stellungnahme gebeten hatte, verschwanden die dazugehörigen Informationen und der dazugehörige Thread wieder schnell – gelöscht durch Fidor.
Sichtbare Wachstumsschmerzen auch bei Fidor
„Was unser Haus als schwierig erachtet, ist die Tatsache, dass Hinweise aus unserer Kundschaft nicht direkt an unser Haus artikuliert werden, sondern einer breiten Masse im Rahmen eines Leaks zur Kenntnis gebracht werden sollen”, erklärt die Fidor-Bank auf Anfrage. Der Nutzer erklärt dagegen, er habe im Vorfeld auch einzelne Moderatoren persönlich und nicht forumsöffentlich kontaktiert, aber keine befriedigende Antwort erhalten. Die Aussage der Fidor-Bank „unsere kritischsten Kunden, sind unsere besten Unterstützer. So sind wir über jeden Hinweis aus den Reihen unserer Kundschaft natürlich dankbar und fördern entsprechende Aktivitäten“ kann er daher nicht nachvollziehen oder bestätigen. Es werde schnell zensiert, auch bei langjährigen Community-Mitgliedern mit hoher Reputation (Karma-Punkten), der Ton sei rau, einige der Moderatoren schrecken offenbar auch vor polizeilicher Anzeige wegen Verleumdung nicht zurück, so lauten die Vorwürfe.
Dennoch ist auch der Nutzer kein Unbekannter bei der Fidor-Bank und in der Community. Er erklärt, dass ihm nach Meinungsverschiedenheiten im Forum vor einigen Monaten (es ging dabei um das IT-Chaos Anfang April, bei dem die Fidor-Bank in der Kundenkommunikation keine sonderlich gute Figur machte) sowohl sein Konto gekündigt worden sei. Zum diesbezüglichen Zusammenhang sagt Fidor naturgemäß nichts – zu einzelnen Konten oder zum Verhalten unserer Kundschaft im Rahmen der Geschäftsbeziehung will man keine Auskunft geben… um dann aber doch nochmal auszuteilen:
Datenschutz hat für die Fidor Bank oberste Priorität (…). Dazu gehört auch die Privatsphäre unserer Community-Mitglieder, die sich durch das Eingreifen dieses Kunden sichtlich gestört sah.”
Fidor-Bank auf Anfrage von IT-Finanzmagazin
Immerhin, den Frieden und die Ruhe in der Community will man offenbar schnell wieder herstellen. Dass es nicht vernünftig ist, den Überbringer der schlechten Nachricht zu köpfen, wusste man indes schon in der Antike. tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/92971
Schreiben Sie einen Kommentar