Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Startups

Datenleck bei NFC-Karten: Der Sturm im Wasserglas

    Datenleck bei NFC-Karten: Der Sturm im Wasserglas

NFC-Kreditkarte. (Foto: <a href="http://www.shutterstock.com/pic-147700787/stock-photo-credit-card-and-ball-pen-on-a-laptop.html">Shutterstock</a>)

Viel Verwirrung um angebliches Datenleck bei Number26, das keins ist. Ein Erklärungsversuch.

Als der Nutzer Christian Hawkins in seinem Blog Metabubble auf ein Datenleck bei den Kreditkarten von Number26 aufmerksam machte, war die Story perfekt. „Number26 weiß was Du letzten Sommer getan hast“, der Tenor des Beitrags. Christian hatte mit der Android-App “Credit Card Reader NFC” die kontaktlose Mastercard von Number26 ausgelesen und dort Transaktionen sehen können. Auch wir nahmen das Thema auf.

Das „Rat-Pack“ der Fintech-Branche klärt auf

Wir haben die Experten der deutschen Payment- und Fintech-Branche gefragt – das “Rat-Pack“ kommentiert die Ereignisse von gestern wie folgt:

Für ein Startup wie Number26, die sich als Alternative zur klassischen Filialbank sehen, war das der Super-Gau. Vor allem deshalb, weil immer mehr Medien diese Geschichte aufgriffen. Das war in zweierlei Hinsicht nicht richtig. Zum einen ist dieses Datenleck kein direktes Number26-Problem. Issuer (die kartenherausgebende Bank) der Karten ist nicht Number26 sondern die Wirecard Bank. Number26 hat (noch) keine eigene Banklizenz und arbeitet mit Wirecard zusammen, um den Dienst zu ermöglichen.

Diesen Punkt hätte man noch vernachlässigen können, da ja Number26 im Vordergrund steht und dementsprechend auch in der Kritik. Nicht zu vernachlässigen ist die Tatsache, dass nicht nur Number26-Karten betroffen sind. Das kann man sowohl dem Original- als auch unserem Beitrag entnehmen. Unter anderem ist auch die Rede von der fidor Smartcard und der App, die zum Auslesen der Kartendaten benutzt wurde.

Dem Beschreibungstext von Google Play kann man entnehmen: „This application is an analysis tool for reading contactless NFC EMV credit cards data. In some new EMV card, holder name and the transaction history have been removed by issuer to protect privacy.“ Soll heißen: Bei einigen Karten gibt es die Transaktionshistorie, bei anderen nicht. Die App hat sogar einen eigenen Reiter „Transactions“.

Rat Pack
Das "Rat Pack" v.l.: Maik Klotz, Kilian Thalhammer, Jochen Siegert, Rafael Otero und André Bajorat. Foto: ratpack.one)

Nicht ganz richtig: Die Stellungnahme von Number26

Number26 reagierte darauf in Form einer Stellungnahme, die fachlich nicht ganz richtig ist. Dort heißt es „Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.“ Von einem Standard kann nicht die Rede sein und es ist auch kein MasterCard-Thema. Standard würde bedeuten, alle Karten sind betroffen und der EMV-Standard wird nicht von MasterCard definiert, sondern von EMVCo. Wir haben uns unsere Kreditkarten mal genauer angeschaut. Unserem Test nach sind folgende Karten betroffen:

  • Number26
  • fidor Smartcard
  • dkb whitelabel (miles and more) macht es
  • Die niederländische ABN AMRO Bank
  • Die italienische Postepay (Visa)

Die Karten von Barclays (UK), alle American Express Karten, Metrobank (UK), alle von der Landesbank Berlin ausgegebenen whitelabel Karten (Amazon, AirBerlin, etc.) weisen die Transaktionsdaten nicht aus – Apple Pay auch nicht.

kreditkarte
Der Stein des Anstoßes. Kontaktlose Kreditkarten sind Datenschleudern? (Foto: © svort – Fotolia.com)

Datenleck: Ja oder Nein?

Jein. Es ist in der Tat so, das bei den betroffenen Karten eine Art Transaktions-Historie ausgelesen werden kann, etwas was übrigens bei GiroGo als Feature ausgewiesen wird. Die Transaktions-Historie gibt allerdings nur wenig her, denn außer Zeitstempel und Betrag mit Währung steht da nichts drin. Im übrigen handelt es sich hierbei immer nur um maximal die letzten 10 Transaktionen. Kann man damit Rückschlüsse auf ein Einkaufsverhalten schließen? Nur bedingt, denn weder Händler noch Warenkorb oder ähnliches können ausgelesen werden.

Das überhaupt Karten ausgelesen werden können liegt an der Application, die auf dem Chip läuft. Diese kommt entweder vom Issuer (im Fall von Number26 ist das Wirecard) oder dem Provider der die Karten herstellt. Gut möglich, dass ING, Fidor, Wirecard und weitere beim selben Produzenten die Karten fertigen lassen inklusive Chip und ChipOS/App.

NFC-Karten also doch Datenschleudern?

Die Abkürzung NFC steht nicht umsonst für „Near Field Communication“, was bedeutet das man eine Karte nur dann auslesen kann, wenn sie sehr nah am Kartenleser liegt. Was ausgelesen werden kann, sind Daten, die zuvor auf dem Magnetstreifen gespeichert waren, der sogenannte Track 2, mit Ausnahmen des auf dem Magnetstreifen befindlichen Sicherheitscodes CVV1/CVC1. Eine Kopie des Magnetstreifens auf eine andere Plastikkarte mit den Daten zu übertragen, ist somit nicht möglich! Kontaktlos wird statt dem CVV/CVC1 ein spezieller dynamischer CVV3/CVC3-Code transferiert. Ansonsten sind auf dem Magnetstreifen vor allem die Informationen gespeichert, die ohnehin auf der Karte aufgedruckt sind, also Kartennummer und Ablaufdatum. Dies sind auch die einzigen Informationen, die von Kartenakzeptanzgeräten (Kartenlesern im Handel) ausgelesen und für die Zahlung verarbeitet werden.

Die Transaktion über NFC ist dabei sogar sicherer als eine Transaktion per Magnetstreifen (Swipe), da neben dem dynamischen Code als Sicherheitsfeature die kartenherausgebende Bank zusätzlich die Anzahl und Höhe von unverifizierten NFC-Transaktionen (sogenannte „Tap-and-Go-Transaktionen“ ohne PIN-Eingabe) beschränken und ändern kann. NFC ist also nicht „unsicher“, sondern mit einer deutlich höheren Sicherheit verbunden als eine klassische Transaktion, bei der lediglich der statische Magnetstreifen vom Terminal gelesen wird.

Fazit

Dass auf manchen Karten nun Teile der Transaktions-Historie und -Daten abgelegt wird, ist natürlich aus Datenschutzgründen suboptimal, insbesondere sie so abzulegen, dass sie unverschlüsselt und so kinderleicht für jeden zugänglich sind. Andere Banken vermarkten diese Tatsache jedoch als Vorteil für den Kunden. Bei der GeldKarte/Girogo-Karte wird es gar als „Kernfeature“ vermarktet, über einen Kartenleser oder eine App die letzten Transaktionen einsehen zu können. Angesichts dessen stellt sich die Frage: „Is it a bug or a feature?“

Die Transaktionsdaten, die zudem nicht vollständig sind, haben per se eine geringe Aussagekraft, denn natürlich sind die Metadaten interessanter. Bedenklich wäre wenn hier die gesamte Transaktionshistorie gespeichert werden würde (was der Speicherplatz der Karte nicht hergibt – im Originalbeitrag wird auf eine andere Schwachstelle bei Number26 hingewiesen, die genau jenes erlauben könnte, was sicherheitstechnisch wesentlich bedenklicher wäre), mit der bestehenden Historie müsste man kontinuierlich die Daten der Karte auslesen, um genügend Metadaten zu sammeln.

Um den Titel des Beitrags aufzunehmen: Wenn jemand damit wissen soll, was der Nutzer angeblich im letzten Sommer gemacht hat, dann hat der Kartennutzer im letzten Jahr genau 10 Kartentransaktionen gemacht und so wird aus einem Datenskandal ein Sturm im Wasserglas.

Finde einen Job, den du liebst zum Thema Number26

14 Reaktionen
TomCard
TomCard

Nachtrag. Die Karte schreibt intern den Logeintrag , bevor sie das Ergebnis der Transaktion (AAC passed, TC failed) an das Terminal zurück gibt.
Gedacht ist es wohl als Service für den Kunden, der so seine Offline Transaktionen im Blick behalten kann. Mit einem billigen Lesegerät bzw. einer App, darum auch nicht verschlüsselt.
Menschen, die in Lebensangst verfallen, weil jemand ihre offline Transaktionen lesen könnte, waren wohl außerhalb des Vorstellbaren.

Antworten
TomCard
TomCard

Log of Transactions
The PayPass–M/Chip 4 application stores transaction information in the Log of Transactions whenever an AAC or TC is generated. Therefore, the issuer should notice that PayPass transactions completed online may not appear in the Log of Transactions. This is because the terminal does not send a second GENERATE AC command when the PayPass – M/Chip 4 application generates an ARQC in response to the first GENERATE AC command.

Würde demnach alle offline Transaktionen, ob kontaktlos oder kontaktbehaftet, im Log erwarten. Evtl. auch kontaktbehaftete online Transaktionen.

Antworten
guter Artikel
guter Artikel

Mit anderen NFC-Tools werden die Daten allgemein ausgelesen aber nicht imer interpretiert. Evtl sieht man dort Chip/OS o.ä. gleichförmige Informationen auf den betroffenen Karten.

Man könnte ja bei Mastercard nachfragen.
"Diese Karteneinstellung ist MasterCard Standard"
"der EMV-Standard wird nicht von MasterCard definiert"
Mal ein Beispiel für unterschiedliche Interpretierbarkeiten von Formulierungen.
Gemeint ist wohl sowas fiktives wie "Mastercard stellt normalerweise ein, das 12 Transaktionsdaten gespeichert werden" "Sparkasse stellt normalerweise ein das 15 Transaktionsdaten gespeichert werden". Gemeint ist nicht "Mastercard ist der Erfinder und Chef über den EMV-Standard." sondern "man hat mehrere Möglichkeiten, Mastercard wählt ...". Als Presse darf man ungestraft nachfragen und sogar die Antwort normalerweise vermutlich abmahnfrei korrekt und wahrheitsgemäß veröffentlichen.

Bei Geldkarte kann man Datum+Betrag und die Zahlungs-Stelle sehen.
Ich fände sinnvoll wenn man die Länge der Transaktionen und was genau gespeichert wird einstellen könnte.
Im Business für Mitarbeiter könnte man ja NFC-Tags für Geld rausrücken und dann für die Abrechnung, Steuerberater, Finanzamt,... wissen/nachweisen wer wann wo wieviel Geld bekommen bzw. ausgegeben hat.
Das Mitarbeiter Kreditkarten bekommen die man nur bei bestimmten Tankstellen benutzen kann, sind Trivialitäten des Lebens.
Das man eine NFC so einstellt das der Azubi damit nur beim Büro-Bedarf die Sachen abholen und bezahlen kann und nicht noch einen SixPack beim Supermarkt holt, wäre eine Trivialität für die guten Sparkassen.

Ich würde begrüßen wenn ich auslesen könnte wann/wieviel/wo ich bezahlt habe. Mit guten Tools würde man einen Überblick über die oft leider angespannte Finanz- und Ausgaben-Situation bekommen oder einfach nur erkennen wo die Kohle bleibt. Wie beliebt Star-Money, Quicken, M$-Money bei einer Großteil des Volkes sind, erkennt man leider oft nur im Hintergrund. Aber über Elster gibts ja auch fast nie Berichte...

Teilweise haben Karten oder Systeme coole Features welche im Business echt helfen würden. Weil keiner es weiss und die Sparkassen keine zentralen Ansprechpartner pro Bundesland dafür haben (Der kleine Filialmitarbeiter muss das anfangs nicht wissen wenn es zu selten genutzt wird bis es hinreichend viele Handwerker, Steuerberater und natürlich Selbständiger Sparkassen-Kunde es benutzen) verdorren die Features und die Systeme spielen ihre Vorteile leider nicht aus...

Davon abgesehen fragt mal bei ct' oder beim CCC 30jährige (oder älter). M.W. ging es schon ewig (laut TV-Bericht), den kompletten Magnetstreifen zu lesen. Die Geräte und Protokolle sind standartisiert und vermutlich bei Ebay erhältlich.
Bluetooth funktioniert offiziell auch nur 10 Meter. Pringles-Power macht es länger und ermöglicht auslesen/abhören weiter als die offiziell garantierte Strecke.
Offiziell garantiert die NFC-Foundation vielleicht nur bei niegelnagelneuen noch nie genutzen Karten vielleicht nur die 10malige Funktion im Abstand von 0,5 Millimetern mit einem ultrahart gereinigten (keine Fingerabdrücke,Handcreme-Flecksn usw.) offiziellen Test-Lesegerät bei einem maximalen Luftdruck von x und natürlich weniger als x Staubteilchen und sicher nicht bei 100% Luftfeuchtigkeit und natürlich 0,0 ZERO Magnet/EMV/...-Einstrahlung und 5 Sekunden lang ruhigem Festhalten (fiktives Beispiel) eine Auslesbarkeit von 99% oder so mit einer Bitfehlerquote von 1% oder was auch immer. Das man in Wirklichkeit 10cm quer durch die Brieftasche in der Hose oder Brieftasche in der Handtasche auslesen kann ist vielleicht beim CCC-Treffen täglich bewiesen worden. Fragt dort also mal. Oder die Holländischen Security-Experten mit den NFC-Aufdeckungen.

Viele Protokolle sind nur Elektronifiziert oder Over-Air- definiert worden.
- Kreditkarten wurden mit Durchschlagpapier umkopiert und man unterschrieb den Zettel. Da stand immer Nummer+Ablaufdatum drauf. Daher vermutlich sind die Standards für Kreditkarten_Transaktionen schon ewig so nur das man es nicht mühselig durchzieht sondern per NFC ausliest. Mit UHD1-4k(8Megapixel)-Kameras kann man jede CC effektiv fotografieren und vermutlich auch den Code von der Rückseite sehen oder auch Leute beim Pin-Eingeben am Supermarkt oder Geldabheben die PIN-Eingabe mit 8 Megapixeln!(FullHD sind nur 2Megapixel) "erfolgreich" (für Diebe) abfilmen.
- Serielle Protokolle für EC-Karten wurden WiFi-ziert und da fällt dann natürlich auf wenn es unverschlüsselt over-air übertragen wird. Am Supermarkt die Aushänge listen die (ich vermute datensparsamen) Daten welche erfasst werden. Lesen bildet. Neugier tötet die Katze... Oder auch Aufmucken in Dikaturen...

Jedes 80-Euro handy/tablett hat eine Kamera oder sogar zwei. Supermarktkassen sind viel teurer. Die könnten auf Wunsch alle Kunden mit dafür FREIWILLIG freigeschalteten Kreditkarten fotografieren und eine Foto-Email schicken wenn man damit bezahlt oder mit wer mein Amazon-Paket entgegen nimmt. Dann sieht man was die Frau, Kinder einkaufen oder Mitarbeiter mal wieder auf Firmenkosten gekauft haben... Richtig so. Transparenz ist der Feind der Miswirtschaft. Falls ein Betrüger gekauft hat, wird das Foto in der Umgebung zur Fahndung freigegeben... Trivial und einfach. Kreditkartenbetrug wäre schnell ausgestorben und die Bürger-Kaufkraft würde Milliarden zurückgewinnen.
Aber Holdingkettenförderung ist natürlich vermutlich viel wichtiger...

Antworten
Maik Klotz

Prima. Danke für den Hinweis. Es werden keine CNP Transaktionen und auch keine kontaktlosen Transaktionen gespeichert. Und?

Was ein Skandal ist und was nicht, liegt, wie so vieles im Auge des Betrachters. Und ja, zum Glück ist das nur ein Kommentar ;-)

Antworten
Friedrich
Friedrich

Hab halt nicht verstanden, wie jemand er sich als "Experte" bezeichnet, solche Infos auf diese Art verarbeiten kann, die ja nun faktisch - zumindest was den Teil mit den 10 Transaktionen angeht - nicht stimmen. Hier darf man ruhig mal ins Detail gehen.

Gerade von Fintech-Menschen erwartet man ja ein wenig kritische Betrachtung, auch aus Kundensicht. Aber nichts für ungut, jeder von uns lernt immer wieder neue Dinge hinzu und kann sich so zukünftig differenzierter äußern.

PS: Auf meiner Karte könntest du (und viel schlimmer noch meine Frau :D) sehr wohl sehen, dass ich meiner Frau im letzten Sommer einen recht teuren Ring gekauft habe. Ich zahle nämlich nur selten per Steck-Zahlung ;-)

Antworten
Maik Klotz

Nein, denn ich sehe nur den Betrag und Datum. Könnte auch ein iPhone gewesen sein ;-)

Friedrich
Friedrich

He he, zumindest meine Frau weiß ja wann sie den Ring bekommen hat.

Meine Frau wüsste z.b. auch, wann ich mein "freies Wochenende mit den Jungs" hatte und könnte schauen, wieviel ich da ausgegeben habe. Spaß bei Seite, das führt zu weit, aber ich denke es ist klar, dass auch wenige Daten Schlüsse zulassen, die nicht sein müssten.

Rafael
Rafael

zu1 - einmal bitte alle Artikel von gestern lesen - dann wird klar dass einige Medien sehr wohl davon sprachen und auch NFC in der Gesamtheit als unsicher bezeichneten - was ist nicht ist.

zu 2. online Zahlungen - really? ohne Worte... es sind offline Zahlungen gespeichert

zu 3, 4, und 5 das ist etwas was Number26 kommentieren muss, nicht wir.

zu guter letzt - es geht darum die Wogen zu glätten aufgrund der z.t. übertriebenen Nachrichten von gestern (s.o.)

Antworten
Friedrich
Friedrich

1. Okay. Ich habe keine davon gefunden, evtl kleinere / unbedeutende Medien?

2. Sag ich doch! Darum ist die Aussage mit den letzten 10 Quatsch, denn die letzten 10 "Einsteck-Transaktionen" wäre richtig. Zahlst du vor 6 Monaten 5 mal Einsteckt, dann jeden Monate bis heute noch einmal Einsteck und dazwischen 50 mal Online und 30 mal Kontaktlos, haste dennoch deine 9 bis 10 Einsteckt von vor 6 Monaten drauf. ;-)

3. 4. 5. Genau die Punkte machen es eben nicht zum Sturm im Wasserglas, denn die sind für Kunden wichtig.

Antworten
Maik Klotz

Online - im E-Commerce - durchgeführte Zahlungen werden natürlich nicht gespeichert. Das erklärt sich wohl von alleine.

Google News Suche bemühen, dann siehst Du es.

Wo war denn der Aufreger bei den N anderen Banken die auch seit Jahren speichern?

Friedrich
Friedrich

@Maik Klotz

Aha.

Zitate:

"handelt es sich hierbei immer nur um maximal die letzten 10 Transaktionen."

"Wenn jemand damit wissen soll, was der Nutzer angeblich im letzten Sommer gemacht hat, dann hat der Kartennutzer im letzten Jahr genau 10 Kartentransaktionen gemacht"

Beides stimmt nicht, es kommt hier vor allem auf die Zahlart an. Gespeichert werden die letzten 10 Steck-Zahlungen, die natürlich auch viel länger her sein können. Online und vor allem kontaktlose Zahlungen finden sich darauf ja nicht.

Google News liefert mir viele Berichte, die genau sagen, was die Sachlage ist, aber Skandale kann ich nicht finden. Nun gut.

Friedrich
Friedrich

1. Von einem "Datenskandal" hat doch niemand gesprochen?

2. Online und kontaktlose Zahlungen werden *nicht* auf dem Chip gespeichert, es ist also sehr wohl wohl auch bei deutlich häufigerer Verwendung der Karte möglich, die Zahlungen des "letzten Sommers" einzusehen, je nachdem wie die Karte eingesetzt wird. (Zumal das ja sowieso wohl nur eine Anspielung auf einen Filmtitel war, die genau den Kern trifft, denn man könnte ja auch sagen: du weißt eventuell nicht, was ich über dich weiß)

3. Kern des Problem war und ist, dass Number26 NICHT angibt, warum diese Speicherung erfolgt bzw unverschlüsselt erfolgt.

4. Weitere Kritik war, dass es N26 selbst nicht wusste. Erst wurde es abgestritten, dann relativiert, dann zugegeben.

5. Es gibt keine Informationen darüber in den Datenschutzbestimmungen oder zumindest im Hilfebereich, die Nutzer wussten es einfach nicht.

Ich verstehe das Ziel dieses Beitrags nicht, soll es etwas kleinreden oder relativieren? Denn auf klären tut ihr ja leider auch nicht.

Antworten
Maik Klotz

1. Die ursprüngliche Headline impliziert einen Skandal. Das was daraus gemacht wurde kommt einem Skandal gleich.

2. die letzten 10 Zahlungen.

3. Es ist kein Problem von Number26, sondern genereller Natur

4. Issuer ist Wirecard, nicht Number26. Ob die DKB das z.B. weiß ist offen.

5. Mir fehlt das Wissen ob es datenschutzrechtlich relevant ist. Bei den anderen Karten steht dazu ebenfalls nichts in den Bedingungen.

Wir versuchen zu erklären was da technisch passiert und wer betroffen ist. Vor allem das Number26 nichts damit zu tun hat.

Antworten
Friedrich
Friedrich

1. Das ist eine Behauptung. Für einen Blogger ist die Headline einfach ne witzige Anspielung (die man verstehen muss)

2. Falsch, bitte genauer informieren. Onlinezahlungen natürlich nicht und kontaktlose auch nicht, wie sollten diese auch auf den Chip geschrieben werden?

3. Wenn man das als "Bank-Frontend" nicht weiß, also sein eigenes Produkt nicht kennt, ist das schon peinlich und kritikwürdig?

5. Ist es natürlich, das ist doch Basiswissen auf (fast) jedem Barcamp ;-P

Klingt *für mich* alles sehr relativierend. Aber ist ja auch nur ein Kommentar und kein Fachvortrag.

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen