Fidor Bank: Datenleck enthüllte fremde Überweisungsdaten

Über eine Druckvorschau hätten Fidor-Kunden in einzelnen Fällen Überweisungsdaten anderer Kunden einsehen können. Der Fehler wurde inzwischen behoben.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Fidor Bank: Datenleck enthüllte Kunden fremde Überweisungsdaten

(Bild: Xavier Lorenzo / Shutterstock)

Lesezeit: 3 Min.

Die Fidor Bank hat eine Schwachstelle im Onlinebanking beseitigt, die angemeldeten Privat-und Geschäftskunden mittels einfacher URL-Manipulationen den Zugriff auf Überweisungsdaten anderer Kunden ermöglicht hat. Zuvor hatte heise Security die Bank auf dieses Problem aufmerksam gemacht.

Konkret stellte ein heise-Security-Leser fest, dass er aus der Druckansicht einer bankinternen Buchung (Fidor-Kunde zu Fidor-Kunde) heraus zu Überweisungen wechseln konnte, die andere Kunden der Onlinebank getätigt hatten. Angezeigt wurden jeweils der Empfängername nebst seiner Kontodaten (IBAN/BIC), dem Überweisungsbetrag und dem Verwendungszweck sowie das jeweilige Überweisungsdatum nebst Uhrzeit.

Nicht sichtbar waren hingegen der Name und die Kontodaten des überweisenden Fidor-Kunden. Stattdessen wurden dem Leser im Kontext des fremden Überweisungsbelegs immer die eigenen Daten als "Platzhalter" angezeigt.

Durch einen Klick auf "Überweisungsbeleg ausdrucken" neben einer internen Fidor-Buchung (hier von uns rot markiert) gelangte man zur Druckansicht, die die Schwachstelle aufwies.

(Bild: Screenshot)

Der betreffende Leser hatte die Schwachstelle Mitte März durch simples Ausprobieren in der Druckansicht entdeckt, nachdem er eine Zahlung eines anderen Fidor-Kunden erhalten hatte. Er meldete sie Ende März an heise Security. Wir gaben sie unsererseits (nach Klärung einiger Details/Rücksprache mit dem Leser) am 9. April an das Fidor-Team weiter, das sich um eine zügige Fehleruntersuchung und -behebung bemüht zeigte.

Am Mittwoch, dem 15. April wies uns der Leser darauf hin, dass die Schwachstelle wohl beseitigt worden sei. Auf Nachfrage von heise Security bestätigte Fidor dies am gestrigen Donnerstag, dem 16. April. Die Bank habe den Datenschutzvorfall auch direkt am 9. April an den Landesdatenschutzbeauftragten gemeldet, erklärte man uns auf unsere Nachfrage.

Dazu, wie lange die Schwachstelle bestand, hat sich die Fidor Bank bislang nur indirekt geäußert: „Wir hatten eine vorübergehende Störung im Zusammenhang mit Wartungsarbeiten, die aber (...) rasch behoben wurde", teilte sie gegenüber heise Security mit. Weiter heißt es im Statement: "Wir haben keinerlei Beschwerden von unseren Kunden erhalten. Darüber hinaus funktionierten alle Dienstleistungen für unsere Kunden normal."

Auch der heise-Security-Leser hatte von Wartungsarbeiten Mitte März berichtet und einen Zusammenhang zum Datenleck vermutet.

Die Druckansicht für bankinterne Buchungen weist bei Fidor das Format

https://banking.fidor.de/generic_transfers/[Aus Ziffern bestehender PDF-Name].pdf

auf. Durch Ersetzen, Weglassen oder Hinzufügen von Ziffern im PDF-Namen konnte der Leser zu fremden Überweisungsbelegen wechseln. Durch Entfernen des "." vor der pdf-Endung wurde ihm auf einer separaten Seite zusätzlich die genaue Uhrzeit angezeigt, zu der die Überweisung erfolgte. Die Druckansicht zu Transaktionen von oder zu anderen Banken ließ sich nicht auf die beschriebene Art manipulieren; hier wird eine andere URL-Struktur verwendet.

(Bild: Screenshot)

Natürlich lässt sich aus dem manuellen Ausprobieren an einer einzigen internen Buchung weder ableiten, ob die Schwachstelle sämtliche Buchungen dieser Art (auch in anderen Konten) betraf, noch lassen sich Rückschlüsse auf die Zahl der Fidor-Bankkonten ziehen, die von dem Vorfall betroffen waren. heise Security hat diesbezüglich noch einmal bei Fidor nachgehakt; allerdings wollte die Bank hierzu keine Angaben machen.

Ein solcher Programmierfehler im Online-Banking ermöglicht zwar kein gezieltes Ausspionieren bestimmter Personen beziehungsweise Konten, da die Namensgebung der PDF-Dateien keinem erkennbaren Schema folgt(e) und die Zugriffe somit eher zufälliger Natur sind. Ein Datenschutzproblem stellt er natürlich dennoch dar. (ovw)