16-jähriger demonstriert Sicherheitslücken bei 17 Banken

Als ein Leser mitteilte, er habe Sicherheitslücken auf fast allen Banken-Seiten gefunden, wollten wir ihm erst nicht glauben. Das änderte sich, als wir die behaupteten Schwachstellen der 17 Banken auf seiner Liste in Augenschein nahmen.

In Pocket speichern vorlesen Druckansicht 270 Kommentare lesen
Lesezeit: 1 Min.

Sicherheitslücken bei Banken (17 Bilder)

Allianz

Den iFrame mit der heisec-Seite haben wir da reingeschmuggelt.

Die nächste Ausgabe des c't magazins berichtet, dass der 16-jährige Schüler Armin Razmdjou auf den Web-Seiten von 17 Banken Sicherheitslücken entdeckt hat. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Probleme, die eine besonders raffinierte Form des Phishings ermöglichen.

Er habe sich gewundert, dass heise Security bis vor etwa zwei Jahren intensiv über derartige Probleme berichtet hatte – mittlerweile aber so gut wie nichts mehr darüber zu lesen sei, erklärte der Zwölftklässler. Aus Neugier hat er selbst eine Reihe von Bankenseiten untersucht. In etwa 4 von 5 Fällen wurde er fündig und entdeckte eine Sicherheitslücke. heise Security konnte alle Probleme nachvollziehen und benachrichtigte die betroffenen Banken. Alle gemeldeten Lücken sind mittlerweile geschlossen.

Die gefundenen Cross-Site-Scripting-Lücken sind nicht geeignet, direkt Daten auf den Servern der Banken zu kompromittieren. Ein Einbruch in deren Systeme wäre damit nicht möglich gewesen. Dennoch sind sich Sicherheitsexperten einig, dass Cross-Site-Scripting-Lücken keineswegs ein Kavaliersdelikt darstellen. Der heisec-Artikel Passwortklau für Dummies illustriert die davon ausgehende Gefahr sehr anschaulich. (ju)