Number26: Beliebte Online-Bank speichert Transaktionen unverschlüsselt auf der Bankkarte

Das Online-Konto Number26 ist eigentlich eine feine Sache, auch wir haben bereits mehrfach über den Service berichtet. Aktuell gibt es allerdings nicht so positive Schlagzeilen.

NFC Kreditkarte

In den letzten Wochen haben uns immer wieder vereinzelte E-Mails rund um den Support von Number26 (App Store-Link) erreicht, der zum Teil gar nicht oder nur sehr langsam auf Anfragen antwortet. Eine Support-Anfrage an das Team von Number26 hat auch der Blogger Christian Hawkins gestellt – sein Anliegen war aber ein ganz anderes. Er hat herausgefunden, dass sowohl die Maestro-Karte als auch die Mastercard zum Teil sehr sensible persönliche Daten unverschlüsselt auf dem per NFC auslesbaren Chip speichern.


Das Auslesen der Daten ist mehr als einfach und funktioniert beispielsweise mit einem NFC-tauglichen Android-Smartphone und einer passenden App in nur wenigen Sekunden. Ausgelesen werden konnten die komplette Kartennummer sowie das Ablaufdatum, mit diesen beiden Daten sind im schlechtesten Fall sogar Abbuchungen von der Kreditkarte möglich, wenn diese nicht über einen zusätzlichen Prüfcode verfügt. Ebenso konnten die letzten Transaktionen inklusive Datum und Ausgabebetrag ausgelesen werden.

Nicht nur Number26: Auch Karten anderer Banken betroffen

Das große Problem ist die NFC-Technologie: In diesem Fall reicht es, wenn der NFC-Empfänger in unmittelbare Nähe der betroffenen Bankkarte kommt, beispielsweise beim Bezahlen in einem Geschäft. In seinem Test konnte Christian Hawkins die Probleme mit anderen Kreditkarten von Germanwings, ComDirect und Consorsbank nicht reproduzieren. Allerdings scheint von dieser Sicherheitslücke nicht nur Number26 betroffen zu sein, sondern auch andere Banken. Laut Internet-Kommentaren sind beispielsweise auch die Fidor-Smartcard oder die ING-Direct-Karte betroffen.

Mittlerweile gibt es auch eine offizielle Stellungnahme von Number26: “Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa. Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich. Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen. “ (Foto: Depositphotos)

Kommentare 29 Antworten

  1. Ich rate zur Zeit von N26 ab! Allein der extrem schlechte Support, der oft nur mit Standardantworten reagiert (meist erst nach 5-21 Tagen!!!) und die völlig undurchsichtige im Hintergrund und für den Kunden primär nicht nachvollziehbar statt findende Änderung von Wechselkursen reichen für ein Abraten.
    Die Transparenz, die man sich groß auf die Fahne schreibt, wird absolut nicht erbracht. Ich habe mein Konto dort wieder aufgegeben.

  2. Haben Montag Number26 angeschrieben da ich im Dezember schon keine Antwort erhalten habe. In der Bestätigungsmail steht 3-5 Tage. Bin gespannt ob diesesmal eine Antwort kommen wird.

  3. Das Problem ist nicht NFC, wie im (fast komplett kopierten) Artikel beschrieben, sondern mangelnde Umsetzung und kontinuierliche Überwachung der Sorgfaltspflicht und gesetzlichen Vorgaben.

    Statt Steuererhöhungen sollten Behörden einfach mal Bussgelder für die Nichteinhaltung der gesetzlichen Vorgaben fordern.

    Ach stimmt: Dazu müsste es in den Behörden spezialisten geben, welche die Gesetze kennen, verstehen und überwachen können – um Massnahmen zu ergreifen.

    Ach ne… mist! Unsere Behörden bekommen diese Leute ja nicht, bei den Gehaltsstrukturen…

    Sorry, hier gehts nicht um de-railing. Mich kotzt es einfach an, dass jeder depp irgendeinen
    Mist anbieten kann, quasi ohne kontrolle, niemand dafür haften muss aber jede frittenbude oder handwerksbetrieb permanenterÜberwachung” unterliegt.

    Das Problem ist nicht die Technik, sondern fehlendes Wissen um dierichtige Implementierung dieser, der Vorgabe sowie dem echten Willen es besser machen wollen.

    Number26 hat hoch gepokert, gewonnen, geprahlt und wird nun Opfer der eigenen Arroganz – kennen wir doch schon, oder?

  4. Hallo,
    ich kann die negativen Kommentare nicht nachvollziehen…
    bei mir war alles top, Service & App sind optitop.

    Als Guthabenkarte prima zu händeln und absolut kostenlos!

    Über die Buchungsbenachrichtigung per Push kann man sofort handeln, wenn was nicht stimmt,
    die Karte lässt sich per App sperren..
    einfacher geht’s nicht..

    Gruss

  5. Ich persönlich habe mit dem lokalen Speichern der letzten Transaktionen Kein Problem. Trotzdem sollte darüber nachgedacht werden, es vielleicht zu deaktivieren.
    Ich finde es unschön von appgefahren, es in der Überschrift nur N26 anzuhängen, da es genauso andere betrifft; es ist ja außerdem nichts unmittelbar sicherheitsrelevantes.
    Bin bisher mit N26 sehr zufrieden, kann es allerdings verstehen, daß sich andere ärgern, wenn sie den Service nicht erreichen. Vielleicht hat N26 zu wenig Leute und braucht etwas Zeit, um das Personal aufzustocken?

    1. Es geht ja nicht darum, dass es gespeichert wird,sondern es relativ einfach ist dies auszulesen…also könnte jeder mit Zugriff auf die Karte diese Angaben bekommen.
      Aber auch wenn Du persönlich damit kein Problem hast, so sollte damit auch offen umgegangen werden und dies scheint ja nun mal nicht der Fall zu sein und es ist ja offensichtlich nicht ein Number26-spezifisches Problem.

      1. Ich meinte das so, daß die Angaben recht harmlos sind, jedenfalls nichts auslesbar, um das Konto leerzuräumen. Ich glaube nicht, daß ein großer Discounter die Daten ausliest, um die Kaufgewohnheiten auszuwerten – viel zu riskant, wenn das auffliegt.
        Und außer an der Kasse kommt da niemand nah genug ran, zudem ist meine Karte in einer schicken Edelstahlhülle, damit sie nicht beschädigt wird … 100% abgeschirmt 🙂

      1. Ich hatte auch sehr sehr lange auf eine präzise Antwort gewartet als es vor einiger Zeit mit dem Release eines updates der “Appgefahren App” plötzlich hieß: Leider müssen wir aus Kostengründen den bis dato in der App implementierten NACHTRUHE Schalter gänzlich entfernen. Auf Nachfrage hieß es damals, es wäre nur eine vorübergehende Problemlösung den NACHTRUHE Schalter zu entfernen welche aber nach Behebung der Bugs wieder hinzugefügt würde!

        Natürlich war es damals ein brennend Interessantes Thema was natürlich von Woche zu Woche mehr und mehr in Vergessenheit gerät! Bis heute natürlich keine wieder Implementierung und keine Antworten dazu!

  6. Es gibt für Centbeträge Hüllen (bei zB Amazon und anderen) und für etwas mhr ganze Portemonnaies die NFC blocken. Auch der Personalausweis und Reisepass gehören in solch ein Beutel wer auf etwas Sicherheit bedacht ist

  7. Bin seit November 2015 bei Number26 und absolut zufrieden, von der Hotline kann ich nur gutes berichten und warten musste ich dabei auch nicht länger als bei meiner alten Bank.
    Der NFC Chip in der Master und Maestro Karte stört mich zwar, aber man kann die Karten ja sperren.
    Und das Problem haben fast alle anderen Banken auch. Berichte gab es darüber bereits in 2012 über die Sparkassenkarten.
    Mit der Kreditkartennummer und dem Ablaufdatum kann normaler weise keiner was machen, ohne die dazu gehörige Sicherheitsnummer.
    Und die Händler die auf die Sicherheitsnummer verzichten haften für den Schaden selbst.
    Aber irgendwie ist es mal wieder klar das man kleine Startups schädigen möchten, somit brauchen die GROSSEN R+V, Spartaner… Banken sich nicht rechtfertigen. Aber Oma hat schon gesagt Tue das Geld im Socken unter die Matratze, oh Gott hab die Einbrecher vergessen. ?

  8. Viel Lärm um Nix. Number26-floppt an vielen Stellen.Da klappt inzwischen garnichts mehr:
    1.Das Bonusprogramm-Lug und Trug.
    2.Support-50 Minuten in der Warteschleife-danach wird die Leitung gekappt. Mails werden nicht mehr beantwortet.
    3. Der Dispokredit-ein voller Flop
    Ich bin bedient. Das soll das modernste Bankkonto Europas sein? Armes Europa!

  9. Habe mir schon vor Monaten einen schicken, kleinen Kartensafe von Razor gekauft, da ich beruflich und auch privat einige (zu viele) Bankkarten habe. Auf Anfrage, die Sendefunktion bei den Sparkassenkarten zu deaktivieren, wurde mir mitgeteilt, es gäbe keinerlei Möglichkeiten, diese NFC-Funktion abzuschalten. Einzige Möglichkeit ist ein Wechsel zu einer anderen Bank… Nur gibt es kaum Geldkarten ohne diesen Sendeschwachsinn.
    Wenn jemand beim Vorbeigehen die Daten unserer Geschäftskonten abgreifen würde, wäre das ein Super-GAU, würde im schlimmsten Fall Arbeitsplätze gefährden. Ach ja, es soll ja auch Menschen geben, die Kontaktlos per NFC mit dem Handy bezahlen, viel Spaß dabei… Einfach mal einige Zeit z.B. auf dem Vorplatz des Kölner Doms verbringen, ist hier in Köln kein unbekanntes Thema, auch nicht bei Polizei und Justizbehörden, hat leider nur kein Ohr gefunden bei diesen komischen Politikern und Banken.

    1. Edit: Ja, auch ich habe Numbers26 MasterCard, nur mit kl. Guthaben, nutze das für Abo-Zahlungen und Onlineaktionen mit Legitimatiosnachweis. Und stimmt, Fabian hat leider nur Numbers26 im Visier ?

  10. Ich wusste noch gar nicht, dass die NUMBER26-Karte auch NFC-fähig ist. Meine NUMBER26-Karte hat das Feature leider (ich schätze das schnelle Bezahlen, das damit möglich ist) noch nicht. Schade ist, dass NUMBER26 mich nicht darauf hingewiesen hat, dass es hier ein “Update” gab. Aber die Informationspolitik und der Support von NUMBER26 lassen aus meiner Sicht ohnehin noch einiges zu wünschen übrig. Seitdem ich die App von denen nutze (seit vielen Monaten; ich bin von Anfang an dabei) habe ich Probleme damit, dass die App nicht mit den vielen Kontakten (> 5.000) umgehen kann, die ich im iPhone gespeichert habe (alle anderen Apps, die auch die Kontakte zugreifen und die ich nutze, kommen damit klar). Dazu gab es diverse Versuche meinerseits, darüber mit dem Support von NUMBER26 in Dialog zu treten. Antworten bekam ich auch, inklusive Ankündigungen, dass das Problem mit der nächsten Version gelöst sei. Bis dato ist der Bug aber weiterhin existent.

    1. Danke. Allerdings werden das die wenigsten lesen, nur die Schlagzeile bleibt hängen. Wie ich mir dachte, die gespeicherten Daten sind weder personenbezogen noch sicherheitsrelevant.

  11. Also mir ist dieser negative Hype echt ein Greul.
    NFC Fähigkeit war von Anfang an klar. Stand überall. Datenmissbrauch? Welcher den? Was will jemand mit den Daten anfangen? Genau. Nichts. Das Konto ist klasse und ich bin froh es kostenlos, weltweit, nutzen zu können. Das Number26 wahrscheinlich überrascht wurde und nicht damit gerechnet hat mit solch einer Geschwindigkeit zu wachsen ist eine Sache, deshalb alles schlecht zu reden eine ganz andere

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Copyright © 2020 appgefahren.de