Citibank-Hack gelang über simplen Design-Fehler
Das berichtete die US-Tageszeitung 'New York Times' unter Berufung auf einen nicht namentlich genannten Sicherheits-Experten, der den Fall analysierte. Demnach genügte eine einfache Manipulation der URL, um an die Konten anderer Kunden zu gelangen. Die Nutzerkennung musste dafür einfach verändert werden.
Den Angaben zufolge genügte es, sich einmal mit gültigen Zugangsdaten in ein Nutzerkonto einzuloggen. Anschließend genügte es, die ID-Nummer für die Online-Banking-Konten jeweils um eine Zahl hochzuzählen. So erhielt man einen direkten Zugriff auf den jeweils nächsten Account.
Unter Zuhilfenahme eines Scriptes nutzten die Angreifer diese Möglichkeit, um automatisiert Informationen von hunderttausenden Konten zu kopieren. Namen, E-Mail-Adressen, Kontonummern und Listen über Kontobewegungen konnten in großer Zahl aus der Anwendung herausgeholt werden.
Wie der Sicherheitsexperte ausführte, deuten die Spuren nach dem bisherigen Erkenntnisstand darauf hin, dass die Angreifer aus Osteuropa kamen. Allerdings gibt es hierzu noch keine Verlässlichen Informationen. Die Techniker der Citibank hatten den unbefugten Zugriff im Mai im Rahmen einer Routine-Prüfung entdeckt.
Bisher ist auch unbekannt, inwiefern der Angriff für die Citibank oder deren Kunden zu finanziellen Schäden führte. Wegen der andauernden Ermittlungen durch die Polizei hält sich das Unternehmen selbst mit der Veröffentlichung von Informationen zurück. Die Sicherheitslücke soll aber umgehend beseitigt worden sein.
Ein Sprecher der Bank führte allerdings aus, dass die internen Kontrollgremien, die stetig nach Hinweisen auf betrügerische Transfers suchen, ihren Fokus derzeit auf die betroffenen Konten richten. Auffälligkeiten würden hier jetzt mit besonderer Sorgfalt unter die Lupe genommen.
Den Angaben zufolge genügte es, sich einmal mit gültigen Zugangsdaten in ein Nutzerkonto einzuloggen. Anschließend genügte es, die ID-Nummer für die Online-Banking-Konten jeweils um eine Zahl hochzuzählen. So erhielt man einen direkten Zugriff auf den jeweils nächsten Account.
Unter Zuhilfenahme eines Scriptes nutzten die Angreifer diese Möglichkeit, um automatisiert Informationen von hunderttausenden Konten zu kopieren. Namen, E-Mail-Adressen, Kontonummern und Listen über Kontobewegungen konnten in großer Zahl aus der Anwendung herausgeholt werden.
Wie der Sicherheitsexperte ausführte, deuten die Spuren nach dem bisherigen Erkenntnisstand darauf hin, dass die Angreifer aus Osteuropa kamen. Allerdings gibt es hierzu noch keine Verlässlichen Informationen. Die Techniker der Citibank hatten den unbefugten Zugriff im Mai im Rahmen einer Routine-Prüfung entdeckt.
Bisher ist auch unbekannt, inwiefern der Angriff für die Citibank oder deren Kunden zu finanziellen Schäden führte. Wegen der andauernden Ermittlungen durch die Polizei hält sich das Unternehmen selbst mit der Veröffentlichung von Informationen zurück. Die Sicherheitslücke soll aber umgehend beseitigt worden sein.
Ein Sprecher der Bank führte allerdings aus, dass die internen Kontrollgremien, die stetig nach Hinweisen auf betrügerische Transfers suchen, ihren Fokus derzeit auf die betroffenen Konten richten. Auffälligkeiten würden hier jetzt mit besonderer Sorgfalt unter die Lupe genommen.
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Google Summer of Code (GSoC) :: neue Features & Funktionalitäten
Ler-Khun - vor 2 Stunden -
OpenMediaVault - das intelligente System mit der modularen Architektur
Ler-Khun - vor 2 Stunden -
Wie kann ich die Untertitel einem Video hinzufügen?
MiezMau - Gestern 16:42 Uhr -
DaVinci Resolve 21 Final wurde freigegeben
Ler-Khun - Vorgestern 17:17 Uhr -
Bayerns Digitalministerium bemüht sich um digitale Souveränität
Computer - 05.06. 23:58 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen