lnwshop logo
  • ตอบกระทู้
  • ตั้งกระทู้ใหม่
QUOTE 

Demonstriert: ดังนั้น einfach konnte คนไอน์ N26 Konto übernehmen

eagerphilosophy
eagerphilosophy (Guest)
IP: 115.87.121.x
1 เดือนที่ผ่านมา
Das FinTech - เริ่มต้นใช้งาน N26 (früher: Number26) steht erneut in der Kritik Diesmal geht es um einen Vortrag von Vincent Haupert auf dem 33. Kongress des Chaos Computer Club (CCC) ในกรณีที่มีการประท้วงอยู่ในขณะนี้ Ein beliebiges N26 - Konto zu übernehmenและ Geld zu transferieren. หมวกกันยายนกันยายนไอที -Sicherheitsforcher Haupert angefangen, sich bei N26 genauer anzuschauen Anders als klassische Banken, die für die Authentifizierung des Nutzers zwei คุณยังสามารถใช้งานได้จาก Apps einfordern, nutzt N26 eine One-App-Authentification. Bedeutet: Ich brauche nicht mehr ein zweites นอกจากนี้ยังมี eine แยกต่างหากจาก App ที่แตกต่างกันและอื่น ๆ อีกมากมาย Der สถานะ Quo beim Online - Banking (Bild: ภาพหน้าจอ Haupert / 33c3) Es gibt bei N26 drei eingebaute "Hürden": Man kann also, selbst wenn ชาย den Zugang des Nutzers หมวก, damit erstmal พยาบาล wenig anfangen, คน weil Zugriff auf sein สมาร์ทโฟน braucht. ในเซริเน็ท Vortrag demonstriert Haupert, อายุการใช้งานที่สูงขึ้นสำหรับปัญหาที่เกิดขึ้น - ปัญหาที่เกิดขึ้น เข้าสู่ระบบ, รหัสผ่านการโอน, สมาร์ทโฟน sind bei N26 nötig (Bild: ภาพหน้าจอ Haupert / 33c3) 1 ยกเลิกโดยเร็ว Zunächst einmal braucht มนุษย์ตาย Anmeldedaten, ตายยัง E-Mail-Adresse eines Nutzers und das zugehörige Passwort. Hier ruft Haupert zwei คำอธิบาย: Um um เป็นจดหมายฟิชชิ่ง - mails คนตาบอด rauszuschicken, sondern direkt a N26-Kunden, musste Haupert zunächst a deren E-Mail-Adressen kommen. Hier หมวก er sich eine Funktion von N26 zunutze อัญมณี, ตายมนุษย์ auch von WhatsApp และ บริษัท kennt: อ่อนนุช zwischen zwei Nutzern interagieren zu können (bei WhatsApp sind es Chatnachrichten, bei N26 eben Zahlungen zum ติดต่อ), muss N26 wissen, welche der Kontakte ebenfalls N26 nutzen Dafür wird das Adressbuch hochgeladen und abgeglichen. Von den 68 Mio. geleakten Dropbox-Accounts sind 33.000 อ่านเพิ่มเติม N26 angemeldet (Bild: ภาพหน้าจอ Haupert / 33c3)สาวฮัครู๊ดหมวกสาวตาย bein einem Hack 68 ล้านหยวน Dropbox บัญชี gegen die API von N26 getestet Ergebnis: Keine Cheques, ข้อ จำกัด ที่สำคัญ "N26 geht einfach davon aus, dass ich extrem beliebt bin" 33.000 der getesteten บัญชี sind laut Haupert tatsächlich N26-Kunden Gleichzeitig bietet der Dropbox-Hack einen hervorragenden Vorwand, um diese บัญชีของคุณได้รับการแก้ไข 26.tech -Domain anzuschreiben und auf einen Passwort-Reset hinzuweisen. Diese E-mail hätte (หมวก!) Haupert genutzt, ตายตายPasswörter zu kommen (Bild: ภาพ Haupert / 33c3) 2 โทรศัพท์สมาร์ทโฟน, PIN zurücksetzen Als nächstes muss das โทรศัพท์สมาร์ทโฟนที่มีอยู่แล้ว, das mit dem N26 - บัญชีverknüpft ist. Dafür sind mehrere Stufen nötig: โทรศัพท์มือถือสมาร์ทโฟนที่มีการติดตั้ง, คนที่แต่งตัวประหลาด BlickMasterCard
  • ตายซิมการ์ด
  • รหัส PIN
  • > ลิงก์ย้อนกลับเป็นอีเมล์ Holt sich Haupert überตาย N26-API, die ihn freundlicherweise einfach ausgibt. รหัสผ่านของบัตรประจำตัว, รหัสผ่าน, รหัสผ่าน prefix bei einer Nutzer-ID gespeichert wird (zB 0123456789-987654 , wobei alles vor bindestrich der MasterCard-ID entspricht ) Fehlt noch der Transfer-Code ความคิดเห็นที่ Haupert nicht ohne weiteres. Statt sich damit lange aufzuhalten, setzt er ihn einfach zurück. Dafür aber wird nur die บัตรประจำตัว MasterCard-ID benötigt (siehe oben) Der Token, SMS ต่อ SMS และมาสมาร์ทโฟนที่ดีที่สุด, ดีที่สุดจาก 5 Ziffern. Macht bei 10⁵ยัง 100.000 mögliche Kombinationen. Die Schnittstelle hat keinen โหดเหี้ยม - Schutz Bedeutet: Man kann die Kombinationen einfach durchprobieren (lassen) และ wird ดังนั้นในเวลาสั้น ๆ Minuten ans Ziel kommen Haupert hat es mit 160 กลับไปด้านบนให้ข้อเสนอแนะและคำแนะนำในการใช้งาน 20 ขั้นตอนต่อไปนี้คือ: N26 - หมวกกันน็อกแบบสมาร์ทโฟน Das einzige ปัญหาที่เกิดขึ้นกับ Sache ist aus Hackersicht, dass während des Pr ozesses drei อีเมลพร้อม SMS ตายแล้ว N26-Kunden gesendet werden und dieser ดังนั้นnatürlich zeitnah auf then Hack aufmerksam wird. N26-Hack: Anruf beim Support Haupert hat dann gleich noch beim N26 - สนับสนุน angerufen Die können z.B. ตาย E-Mail - Adresse อื่น ๆ Namen ändern sowie ebenfalls das โทรศัพท์สมาร์ทโฟน. Benötigt werden dafür: Und jetzt ratet mal, wo คน den Geburtsort foundet? Richtig, den liefert die API-Ausgabe ebenfalls ง่ายสำหรับพวกเขา Silbertablett Geburtsort herausfinden? Für Haupert kein ปัญหา (Bild: ภาพหน้าจอ Haupert / 33c3) "Aber ich hab da eh kein Geld drauf" ich persönlich wichtig หา, ist, dass Haupert auf den มาตรฐาน "Aber ich hab ja eh ... " eingeht ในช่วงฤดูใบไม้ร่วงฤดูใบไม้ร่วง: "Aber ich habe ja eh nur 50 Euro auf meinem N26-Konto" คนโง่เง่าดำ, คนโง่เง่าคนโสด, คนโสด, คนโง่, คนโง่, คนโง่, คนโง่, คนโง่, คนโง่, คนโง่, ดังนั้นเมื่อเทียบกับ 50 Euro schnell mal 2.050 Euro, คนตายplötzlichใน der Kreide steht. (Dazu auch: Wann haftet der Kunde bei Missbrauch des ออนไลน์ธนาคาร?) Haupert hat den Vorgang zusammen กับพวกเขา CCC เป็น gemeldet N26, ตายการแก้ไขปัญหาที่เกิดขึ้นโดยไม่ต้องมีการลงทะเบียนเมื่อวันที่ 13 กรกฎาคมที่ผ่านมามีความปลอดภัยมากขึ้น Dennoch wirft der ฤดูใบไม้ร่วง eine spannende Sache auf, die Haupert absolut richtig adressiert: Sicherheit darf nicht nur von der PR-Stelle versprochen werden. ความคิดเห็นที่ FinTech-Start-ups quatschen potentielle เปิดโอกาสให้กับผู้เยี่ยมชมทั้งหมด, โดย sicher alles sei. Mit Banken verbindet man Vertrauen (ja, ... ). Junge FinTech-Unternehmen wie N26 ส่งข้อความถึง Vertrauen erst verdienen. Mit solchen Lücken wird das aber erstmal nichts. Immerhin: Laut Haupert habe N26 professionell auf den Hinweis reagier und und ihn sogar eingeladen. Seit Dienstag gibt es zudem ein Bug-Bounty-Programm การตรวจสอบความถูกต้อง: Haupert hat natürlich kein fremdes Konto geknackt, sondern N26 aus rein wissenschaftlicher Perspective betrachtet. Den Vortrag จาก Haupert gibt es hier:<iframe src = "https://media.ccc.de/v/33c3-7969-shut_up_and_take_my_money/oembed" frameborder = "0" allowfullscreen = "allowfullscreen"> </iframe> Auch interessant: Wie ein Programmierer jedes Facebook-Konto htente hacken können - und dafür 15.000 ดอลลาร์ bekam Vernetze dich mit uns! ไม่ชอบ auf Facebook ไม่เป็นไร Twitter oder abonniere Unsere ปรับปรุงต่อ WhatsApp Teile diesen Beitrag!
  • <SVG width =" 32px" height = "20px" xmlns = "http://www.w3.org/2000/svg" viewbox = "0 0 30 32"> <เส้นทาง d = "M29.7 6.8q-1.2 1.8-3 3.1 0 0.3 0 0.8 0 2.5-0.7 4.9t-2.2 4.7-3.5 4-4.9 2.8-6.1 1q-5.1 0 -9.3-2.7 0.6 0.1 1.5 0.1 4.3 0 7.6-2.6-2-0.1-3.5-1.2t-2.2-3q0.6 0.1 1.1 0.1 0.8 0 1.6-0.2-2.1-0.4-3.5-2.1t-1.4-3.9v -0.1q1.3 0.7 2.8 0.8-1.2-0.8-2-2.2t-0.7-2.9q0-1.7 0.8-3.1 2.3 2.8 5.5 4.5t7 1.9q-0.2-0.7-0.2-1.4 0-2.5 1.8-4.3t4. 3-1.8q2.7 0 4.5 1.9 1.9-0.4 3.9-1.5-0.7 2.2-2.7 3.4 1.8-0.2
  • = "สีพื้นหลัง: # f75b44; border-radius: 1% "> <svg width =" 32px "height =" 20px "xmlns =" ​​http://www.w3.org/2000/svg "viewbox =" " 0 0 32 32 "> <เส้นทาง d = "M31.6 14.7h-3.3v-3.3h-2.6v3.3h-3.3v2.6h3.3v3.3h2.6v-3.3h3.3zM10.8 14v4.1h5.7c-0.4 2.4-2.6 4.2-5.7 4.2 -3.4 0-6.2-2.9-6.2-6.3s2.8-6.3 6.2-6.3c1.5 0 2.9 0.5 4 1.6v0l2.9-2.9c-1.8-1.7-4.2-2.7-7-2.7-5.8 0-10.4 4.7-10.4 10.4s4.7 10.4 10.4 10.4c6 0 10-4.2 10-10.2 0-0.8-0.1-1.5-0.2-2.2 0 0-9.8 0-9.8 0z "> </svg> แชร์ & nbsp;
  • <svg width = "32px" height = "20px" xmlns = "http://www.w3.org/2000/svg" viewbox = "0 0 25 32"> <เส้นทาง d = "M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z "> </svg> แชร์ & nbsp;
  • <svg width =" 32px "height =" 20px "xmlns =" ​​http://www.w3.org/2000/svg "viewbox =" " 0 0 27 32 "> <เส้นทาง d =" M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9- 2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5 -0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0-4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z "> < / li>
  • <svg width =" 32px "height =" 20px "xmlns =" ​​http://www.w3.org/2000/svg "viewbox =" " 0 0 32 32 "> <เส้นทาง d =" M17.6 17.4q0.2 0 1.7 0.8t1.6 0.9q0 0.1 0 0.3 0 0.6-0.3 1.4-0.3 0.7-1.3 1.2t-1.8 0.5q-1 0-3.4 -1.1-1.7-0.8-3-2.1t-2.6-3.3q-1.3-1.9-1.3-3.5v-0.1q0.1-1.6 1.3-2.8 0.4-0.4 0.9-0.4 0.1 0 0.3 0t0.3 0q0.3 0 0.5 0.1t0.3 0.5q0.1 0.4 0.6 1.6t0.4 1.3q0 0.4-0.6 1t-0.6 0.8q0 0.1 0.1 0.3 0.6 1.3 1.8 2.4 1 0.9 2.7 1.8 0.2 0.1 0.4 0.1 0.3 0 1-0.9t0.9- 0.9zM14 26.9q2.3 0 4.3-0.9t3.6-2.4 2.4-3.6 0.9-4.3-0.9-4.3-2.4-3.6-3.6-2.4-4.3-0.9-4.3 0.9-3.6 2.4-2.4 3.6-0.9 4.3q0 3.6 2.1 6.6l-1.4 4.2 4.3-1.4q2.8 1.9 6.2 1.9zM14 2.2q2.7 0 5.2 1.1t4.3 2.9 2.9 4.3 1.1 5.2-1.1 5.2-2.9 4.3-4.3 2.9-5.2 1.1q-3.5 0-6.5 -1.7l-7.4 2.4 2.4-7.2q-1.9-3.2-1.9-6.9 0-2.7 1.1-5.2t2.9-4.3 4.3-2.9 5.2-1.1z "> รับทำ SEO</svg> แชร์ & nbsp;
  • <svg width =" 32px "height =" 20px "xmlns =" ​​http://www.w3.org/2000/svg "viewbox =" " 0 0 31 32 "> <เส้นทาง d =" M0 28.4v-16.4q0-5.7 2.7-8.9t8.3-3.2h17.5q-0.2 0.2-1.7 1.7t-3.2 3.2-3.5 3.5-3 3-1.3 1.2q -0.5 0-0.5-0.5v-5h-1.5q-1.9 0-3 0.2t-2 0.8-1.2 1.8-0.4 3.1v8.4zM2.1 32.1q0.2-0.2 1.7-1.7t3.2-3.2 3.5- 3.5 3-3 1.3-1.2q0.5 0 0.5 0.5v5h1.5q3.7 0 5.2-1.2t1.4-4.8v-8.4l7.2-7.1v16.4q0 5.7-2.7 8.9t-8.3 3.2h-17.5z flattr & nbsp;
  • 1
    แสดงความคิดเห็นที่ 0-0 จากทั้งหมด 0 ความคิดเห็น
    ข้อความ
    ชื่อผู้โพส
    ข้อมูลสำหรับการติดต่อกลับ (ไม่เปิดเผย เห็นเฉพาะเจ้าของร้าน)
    อีเมล
    เบอร์มือถือ
    • ตอบกระทู้
    Go to Top