Postfinance schliesst Sicherheitslücke

24. Februar 2022 um 15:10
image

Eine Sicherheitslücke ermöglichte jahrelang den Einblick in Kundendaten bei der Bank des Gelben Riesen.

Bei Postfinance hat seit 2019 eine Sicherheitslücke im E-Banking bestanden. Diese ermöglichte bei genug technischem Geschick den Einblick in die Daten von Kundinnen und Kunden. Der Finanzdienstleister bestätigte entsprechende Recherchen der 'Republik'.
Über die Sicherheitslücke im E-Banking von Postfinance konnte der Informatiker Simon Gantenbein, Vorstandsmitglied der Digitalen Gesellschaft Schweiz, laut dem Bericht 350'000 Kundendaten herunterladen. Kern des Problems sei, dass das System der Postfinance bei einer Überweisung nach Eingabe der Postkontonummer automatisch Name und Adresse der Empfängerin oder des Empfängers ergänze. Dies habe ihm den Massendownload ermöglicht. Er habe das Experiment freiwillig gestoppt, und die Bank auf die Lücke aufmerksam gemacht. "Es gibt 4,2 Millionen Konten bei Postfinance. Hätte ich mein Programm in die Cloud ausgelagert und mit voller Geschwindigkeit laufen lassen, so hätte ich innert zwei Wochen den kompletten Kunden­stamm herunter­laden können", so Gantenbein zum Online-Magazin.
Nachdem Gantenbein die Bank auf die Sicherheitslücke aufmerksam gemacht habe, sei das Problem mit einem Software-Update behoben worden. "Wir hatten direkten Kontakt sowie einen konstruktiven Austausch mit dem Informatiker", erklärte Postfinance-Sprecher Rinaldo Tibolla auf Anfrage der Nachrichtenagentur 'AWP'. Dank des Hinweises habe man die Zugangssperre für repetitive Abfragen "innerhalb kürzester Zeit" wieder aktivieren können. Am System, dass nach der Eingabe einer Konto­nummer automatisch der Name des Empfängers erscheint, will die Bank jedoch festhalten.

Loading

Mehr erfahren

Mehr zum Thema

image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024