11990

Schwachstelle beim Online-Banking der Postbank

14.03.2008 | 10:31 Uhr |

Eine Schwachstelle im Online-Banking der Postbank hat der Sender SWR3 gefunden. Beim Versand von Überweisungsquittungen werden Sitzungsdaten mit übermittelt, die Dritten Einblicke in die Kontodaten des Absenders gewähren können.

Diese lässt sich entweder drucken oder als Dateianhang verschicken, um etwa die Transaktion einem Geschäftspartner gegenüber zu bestätigen. Beim E-Mail-Versand der Quittung werden Links mit verschickt, die die Legitimation der Online-Banking-Sitzung enthalten. Ist die jeweilige Sitzung noch nicht geschlossen, kann ein Empfänger dieser elektronischen Nachrichten auf das jeweilige Konto zugreifen.

Normalerweise werden Banking-Sitzungen relativ schnell vom Kunden beendet. Weil aber die Quittungen per Mail verschickt werden, erhält der Empfänger die Zugangsdaten ebenfalls ausgesprochen schnell - und könnte so theoretisch noch in den Kontodaten des Absenders herumklicken. Ein finanzieller Schaden kann meist nicht entstehen, weil der "Schnüffler" in aller Regel nicht über die nötigen Transaktionsnummern (TAN) verfügt.

Solange die Schwachstelle nicht behoben worden ist, sollten Postbank-Kunden die Online-Quittungen jedoch erst dann per Mail versenden, wenn sie die aktuelle Banking-Sitzung bereits geschlossen haben.

0 Kommentare zu diesem Artikel
11990