Sicherheitslücke bei Postfinance hat Zugriff auf Kundendaten erlaubt
Postfinance hat eine Sicherheitslücke geschlossen, die Kundendaten öffentlich zugänglich machte. Über das Onlinebanking-Tool konnte ein Informatiker 350'000 Kundendaten herunterladen. Auch über andere Banken konnte auf diese Daten zugegriffen werden.
Eine Recherche von “Republik.ch” hat ergeben, dass persönliche Daten von Postfinance-Kunden teilweise öffentlich zugänglich waren. Der Quelle zufolge wurde die Sicherheitslücke am 12. und 13. Februar behoben.
Während seiner Recherche sei es Informatiker Simon Gantenbein gelungen, uneingeschränkt Adressen und Namen der Postfinance-Kundschaft zu finden. Es konnten auch private Anschriften von Nationalrätinnen, Regierungsräten und von einer Bundesrätin beschafft werden. Auch über andere Banken seien Kundendaten der Postfinance sichtbar geworden. Grund hierfür sei das Postkontoverzeichnis, das diesen Banken offenbar zur Verfügung steht.
Dem Beitrag nach würden diese Kontoauskünfte womöglich gegen das Bankgeheimnis verstossen. Die Post sieht sich laut "Republik" jedoch in einer Sonderrolle, da sie Überweisungen auch in Bargeld annimmt, müsse sichergestellt werden, dass ein Konto existiert. Diese Logik sei von der Post auch ins Digitale übertragen worden und wird "Kontoöffentlichkeit" genannt.
Das Vorgehen
Bei einer Onlineüberweisung über den Service von Postfinance geben Kunden und Kundinnen die IBAN- oder Postkontonummer, den Namen und die Adresse des Zahlungsempfängers ein. Diese Daten werden dann von der jeweiligen Bank kontrolliert. Bei deutlichen Abweichungen von Kontonummer und Namen würde so die Transaktion gestoppt.
Einzig bei Postfinance ergänzt das System die entsprechenden Angaben wie Namen und Adressen der Empfänger automatisch, wenn nur die Postkontonummer bekannt ist. Zwar enthalten Postkontonummern eine Prüfziffer "Doch deren Berechnung ist weder ein Geheimnis noch rechnerisch anspruchsvoll. Sie folgt der Logik einer öffentlich dokumentierten Formel", schreibt die "Republik".
Keine Stopp von Massenabfragen
Der Informatiker Gantenbein sei mit einer selbst programmierten Anwendung in der Lage gewesen, diese Kontonummern nachzubilden. Diese konnte er dann mithilfe des Postfinance-Service vervollständigen lassen. So habe er insgesamt 350’000 Datensätze abgreifen können. Die eigentliche Sicherheitslücke bestehe darin, dass der Webdienst Massenabfragen zulasse. Dem Beitrag nach hat Postfinance diese Lücke nun behoben. Eine dafür zuständige Sicherheitsvorkehrung sei im Jahr 2019 nicht korrekt in ein neues System migriert worden, äusserte sich die Post gegenüber "Republik".
Kritik hagelte es derweil auch für die Postomaten. Der Konsumentenschutz stellt ihnen puncto Bargeldeinzahlung ein schlechtes Zeugnis aus. Nur ein Viertel der Automaten funktioniere wie vorgesehen. Mehr dazu lesen Sie hier.
Commvault übernimmt Appranix
Bitdefender startet Förderprogramm für Start-ups
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Update: Google verschiebt Privacy-Sandbox auf 2025
Update: Kapo Zürich hat russische Software zu Testzwecken genutzt
Wenn die Tribute von Panem ein Disney-Film wären
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Schwachstelle ermöglicht Datenklau via Android-TV
