Citibank-Hack gelang über simplen Design-Fehler

Geldautomat, Citibank, ATM Bildquelle: Aranami / Flickr
Der kürzlich bekannt gewordene Hack bei der Citibank, bei dem Daten von rund 200.000 Kunden abgegriffen wurden, war kein besonders ausgeklügelter Angriff. Die Täter nutzten lediglich ein Sicherheits-Problem bei der Architektur der Online-Banking-Anwendung aus.
Das berichtete die US-Tageszeitung 'New York Times' unter Berufung auf einen nicht namentlich genannten Sicherheits-Experten, der den Fall analysierte. Demnach genügte eine einfache Manipulation der URL, um an die Konten anderer Kunden zu gelangen. Die Nutzerkennung musste dafür einfach verändert werden.

Den Angaben zufolge genügte es, sich einmal mit gültigen Zugangsdaten in ein Nutzerkonto einzuloggen. Anschließend genügte es, die ID-Nummer für die Online-Banking-Konten jeweils um eine Zahl hochzuzählen. So erhielt man einen direkten Zugriff auf den jeweils nächsten Account.

Unter Zuhilfenahme eines Scriptes nutzten die Angreifer diese Möglichkeit, um automatisiert Informationen von hunderttausenden Konten zu kopieren. Namen, E-Mail-Adressen, Kontonummern und Listen über Kontobewegungen konnten in großer Zahl aus der Anwendung herausgeholt werden.

Wie der Sicherheitsexperte ausführte, deuten die Spuren nach dem bisherigen Erkenntnisstand darauf hin, dass die Angreifer aus Osteuropa kamen. Allerdings gibt es hierzu noch keine Verlässlichen Informationen. Die Techniker der Citibank hatten den unbefugten Zugriff im Mai im Rahmen einer Routine-Prüfung entdeckt.

Bisher ist auch unbekannt, inwiefern der Angriff für die Citibank oder deren Kunden zu finanziellen Schäden führte. Wegen der andauernden Ermittlungen durch die Polizei hält sich das Unternehmen selbst mit der Veröffentlichung von Informationen zurück. Die Sicherheitslücke soll aber umgehend beseitigt worden sein.

Ein Sprecher der Bank führte allerdings aus, dass die internen Kontrollgremien, die stetig nach Hinweisen auf betrügerische Transfers suchen, ihren Fokus derzeit auf die betroffenen Konten richten. Auffälligkeiten würden hier jetzt mit besonderer Sorgfalt unter die Lupe genommen. Geldautomat, Citibank, ATM Geldautomat, Citibank, ATM Aranami / Flickr
Diese Nachricht empfehlen
Kommentieren32
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Original Amazon-Preis
729,00
Im Preisvergleich ab
716,99
Blitzangebot-Preis
646,00
Ersparnis zu Amazon 11% oder 83

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden