t3n News E-Commerce

Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]

Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]

Number 26 gilt als eines der innovatisten FinTech-Startups Europas. Die Mobile-First-Bank bietet neben einer auch Kreditkarten von Mastercard und Maestro an, die nach neuesten Erkenntnissen mehr Informationen preisgeben, als sie sollte: Man benötigt nur einen NFC-Reader. Nachtrag: Nicht nur die NFC-Karten von sind auslesbar.

Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]

Number26. (Bild: Number26)

Update vom 11. Februar, 11:50 Uhr: Das „Rat-Pack“ – Experten der deutschen Payment- und Fintech-Branche – hat einen Kommentar zum vermeintlichen Datenleck der NFC-Karten veröffentlicht, der ein wenig Licht ins Dunkel bringt: Datenleck bei NFC-Karten: Der Sturm im Wasserglas [Kommentar]

Update vom 10. Februar, 16:45 Uhr: Number26 hat t3n eine offizielle Stellungnahme zukommen lassen. Diese besagt, dass die Auslesbarkeit von NFC-fähigen Karten normal und eine Standardeinstellung in Deutschland und Europa sei. Die vollständige Stellungnahme:

Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.

Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.

Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.

Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig. – Number26

Update vom 10. Februar, 13:00 Uhr: Wie Number26 t3n mitteilte, sind nicht nicht nur die Number26-Karten von diesem Fehler betroffen, sondern eine ganze Kartengemeinschaft. Derzeit sei man dabei, sich das Problem zusammen mit den Partnern näher anzusehen. Unter anderem können die Daten auch auch aus der Fidor-Smartcard sowie der ING-Direct-Karte (siehe Kommentar) ausgelesen werden.

Number26-Kreditkarte speichert Transaktionen und mehr

Wie alle Kreditkarten besitzen auch die Number26-Karten einen goldenen EMV-Chip, der unter anderem die Kartenechtheit sicherstellt und vor Duplizierung oder Veränderung der Kartendaten schützt. Im Grunde kann der kleine Computer mit der Rechenleistung eines 80er-Jahre-Chips auch als Datenspeicher verwendet werden und als elektronische Geldbörse fungieren – es gibt sogar einen geschützen Datenbereiche und kryptographische Verfahren.

Bei den Number26-Karten scheint das Thema Datensicherheit jedoch nicht sonderlich groß geschrieben zu werden, wie Christian Hawkins auf dem Blog MetaBubble berichtet: Er hat seine Numer26-Karten per NFC-Kartenlese-App ausgelesen und war negativ überascht, wie viele Daten ungeschützt und unverschlüsselt auf der Karte gespeichert sind.

Sowohl von der Number26-MasterCard als auch der Number26-Maestrocard konnte er neben der kompletten Kartennummer auch das Ablaufdatum auslesen. Damit aber nicht genug, denn per NFC-Lese-App ist es sogar möglich, sich die letzten Transaktionen inklusive Datum und Ausgaben mitsamt der Währungsangabe anzeigen zu lassen.

number26-metabubble
Die Number26 -Kreditkarten speichern mehr als sie sollten. (Bild: Metabubble; Christian Hawkins)

Sicherheitslücke in Number26-Karten: Shops und Dritte können eure Transaktionen auslesen

Wie Hawkins weiter schreibt, ist es für Shops, in denen ihr mit der Karte bezahlt, ein Leichtes die Daten auszulesen und damit zu erfahren, was ihr so ausgebt. Auch Dritte können binnen Sekunden an die gespeicherten Daten gelangen, sofern sie die Karte, oder eure Geldbörse, nur kurz in die Hände bekommen. Zum Selbsttest könnt ihr einfach die Kartenlese-App installieren – der Fehler konnte durch einen weiteren Number26-Kunden verifiziert werden.

Scheckkarteleser NFC (EMV)
Entwickler: Julien MILLAU
Preis: Kostenlos*

Auf Nachfrage beim Number26-Support erhielt Hawkins die Antwort, dass normalerweise keine Daten auf der Karte gespeichert werden, auch in den Allgemeinen Geschäftsbedingungen kann nichts dergleichen gefunden werden. Um zu testen, ob die Karten anderer Banken entsprechende, sensible Daten auf diese Weise speichern, hat Hawkins weitere Karten von Comdirect, Consorsbank und anderen per NFC-Karten-App gescannt – ohne Erfolg. Wir haben bei Number26 um ein Statement gebeten – wir werden den Artikel erweitern, sobald das Unternehmen sich zu Wort gemeldet hat.

Passend zum Thema: Fast so gut wie ein klassisches Konto: Warum der Kundenservice die Achillesferse von Number26 ist

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
26 Antworten
  1. von Sichere Implementierung am 10.02.2016 (13:01 Uhr)

    Bei der Geldkarte ist es kein Bug sondern ein Feature wenn man die Beträge, Datum/Uhrzeit und die Nummer des Gerätes wo man bezahlt hat auslesen kann.

    Aber auch hier
    http://www.golem.de/news/gehackte-finanzinstitute-kriminelle-greifen-die-infrastruktur-von-banken-an-1602-119021.html (letzter Absatz, "mangelhaft implementiert")
    steht was ich schon lange sage: Die Implementierungen sind fehlerhaft.
    Es gibt dafür in Deutschland Zentrale Vorgaben und Stellen. Schön wäre also ein Black-Briefkasten wo Konkurrenten oder Insider nennen würden welches PDF-Dokument und die Seite und welcher Absatz die relevanten Infos enthält. In dieser Branche arbeitet man nicht so sehr mit Abmahnungen usw. wie z.b. bei den Online-Händlern. Hier posten ja auch ständig Leute Insider-Wissen was man alles tolles mit Mobile-Payment und den verschiedenen Chipkarten geht aber die kleinen Kunden leider nicht wissen weshalb die Investments der kleinen Supermärkte-Franchise-Nehmer und Sparkassen usw. sich viel langsamer als nötig auszahlen und die Leute immer noch viel mehr Bargeld als nötig am Automaten holen und in der Gegend herumschleppen müssen.

    Als Presse ist man das weisse Blutkörperchen. Man sollte also herausfinden was laut Vorgaben erforderlich ist und ob z.b. laut Vorgaben "alle betroffenen Karten eingezogen und kostenlos ausgetauscht" werden müssen und passend den Verbraucherschutz informieren. Nichts ist einfacher als passende Gesetze Copy-Pasten und die Durchsetzung zu fordern...

    Da aktuell viele Sicherheitsmeldungen in den News laufen sollte man den Grund dranschreiben. Vermutlich eine Konferenz oder Internet-Safe-Day oder so.

    Antworten Teilen
  2. von Andreas am 10.02.2016 (13:05 Uhr)

    Wir haben gerade herausgefunden, dass die Kreditkarten der ING Direct ebenso betroffen sind.

    Antworten Teilen
    • von Thomas am 10.02.2016 (15:18 Uhr)

      Also, meine ING-Diba VISA Karte zeigt kein Log an. Karten Nummer und Ablaufdatum ja, kein Log. Eine Amex zeigt ebenfalls Nummer und Datum, kein Log.

      Antworten Teilen
  3. von grep am 10.02.2016 (13:22 Uhr)

    Hallo ...,


    Number26 macht(e) - zunächst - den seriösen Eindruck (tatsächlich) innovativ zu sein ..., mittlerweile zeigt sich allerdings relativ explizit das Number26 nicht imstande war / ist ihr (Kern-)Geschäft abzuwickeln.
    Ich wechselte seinerzeit von der Targobank (vormals City Bank) zur Fidor Bank AG, weil die etablierten Kreditinstitute leider stark zu wünschen übrig lassen.

    Vielleicht mag die t3n-Redaktion auch mal einen Artikel über die Fidor Bank AG veröffentlichen.
    Wer jetzt wechseln möchte findet über diesen Link - https://goo.gl/bpS9S7 - zum entsprechenden Formular.


    Ciao, Sascha.

    Antworten Teilen
    • von Andreas Floemer am 10.02.2016 (13:30 Uhr)

      Die Fidor-Smartcard ist unter anderem auch betroffen. Siehe Nachtrag im Artikel.

      Antworten Teilen
      • von grep am 10.02.2016 (13:41 Uhr)

        Hallo Andreas Floemer,


        ich nutze - zum Glück - noch die Vorgänger-Mastercard, ich finde die neue Smartcard ist wirklich blöd.

        Ansonsten lässt man mich als P-Konto-Kunden in Frieden meine Bankgeschäfte abwickeln - im Gegensatz zu anderen Geldhäusern; außerdem habe ich hier (auch als P-Konto-Kunde) eine (Prepaid-)Kreditkarte ... und da das Kreditkartenguthaben dem Kontoguthaben entspricht ist auch dieses vor Pfändungen sicher.
        Es gibt hin und wieder kleine Aufmerksamkeiten wie kostenlose SIM-Karten mit entsprechendem Guthaben usw. !

        UND ..., das Kreditkarten- / Girokonto steht NICHT (!!!) in der Schufa !


        Ciao, Sascha.

        Teilen
    • von Pixelschubser am 10.02.2016 (13:52 Uhr)

      Wechseln?

      - einmal Bargeld abheben pro Monat in Eurozone kostenfrei
      - ab zweitem Mal Bargeld abheben im Monat in Eurozone Kosten von je 2,50 Euro
      - Jahresgebühr von 14,95 Euro
      - keine EC-Karte
      - kleines Institut ohne Bonitätsbewertung von Ratingagenturen

      Ähm, nein danke!

      Antworten Teilen
      • von grep am 10.02.2016 (14:02 Uhr)

        Hallo Pixelschubser,


        soweit man KEINE Barverfügung via Smartcard vornehmen sollte so wird dies mit 2,- € (pro Monat) belohnt, bei einer Verfügung am Geldautomaten erhält man dennoch 1,- € Gutschrift in betreffendem Monat.

        Ergo erhält man zwischen 12,- € bis 24,- € im Jahr womit sich die Jahresgebühr der Smartcard dann amotisiert.
        Dennoch, mir gefällt die Vorgänger-Mastercard besser !


        Ciao, Sascha.

        Teilen
      • von grep am 10.02.2016 (14:33 Uhr)

        Hallo Pixelschubser,


        außerdem ist die Kontoführung komplett kostenlos, es gibt einen minimalen Guthabenzinssatz von (derzeit) 0,25% und der Dispozins liegt wenn ich mich nicht irre zwischen 5-6%.

        Ist doch hammergeil !


        Ciao, Sascha.

        Teilen
      • von FotoBLN am 10.02.2016 (22:18 Uhr)

        Keine EC Karte ist aber ein Dummes Argument :D

        http://www.die-deutsche-kreditwirtschaft.de/dk/zahlungsverkehr/kartengestuetzter-zahlungsverkehr/girocard.html


        Ratingagenturen....autschi :D

        Die SmartCard hat übrigens andere Konditionen.

        Teilen
      • von FotoBLN am 10.02.2016 (22:20 Uhr)

        Und die SmartCard hat keine Jahresgebühr @grep

        Teilen
      • von grep am 10.02.2016 (23:09 Uhr)

        Hallo FotoBLN,


        stimmt die 14,95 € fallen NICHT für die SmartCard an sondern für die Fidor Debit MasterCard.

        Hatte die beiden Karten verwechselt.


        Ciao, Sascha.

        Teilen
  4. von Christian Hawkins am 10.02.2016 (13:40 Uhr)

    Na, wenigstens habt ihr von Number26 eine Antwort bekommen. Ich habe es via verschiedener Kanäle versucht, der einzige auf dem irgendetwas geschah, war deren Facebook page. Die Reaktion allerdinmgs keine Antwort, sondern: Löschung.

    Antworten Teilen
  5. von grep am 10.02.2016 (13:46 Uhr)

    Hallo Andreas Floemer,


    es wird übrigens auch KEINE (!!!) Schufaabfrage bei Kontoeröffnung gemacht - jeder erhält dort garantiert ein Girokonto.


    Ciao, Sascha.

    Antworten Teilen
  6. von Maik Klotz am 10.02.2016 (13:54 Uhr)

    so wie vermutlich jede NFC Karte.

    Antworten Teilen
  7. von Marco am 10.02.2016 (14:07 Uhr)

    "neben der kompletten Kartennummer auch das Ablaufdatum auslesen, was nicht sein darf."
    Das ist doch schmarn! Das muss ja wohl übertragen werden, damit ne Zahlung überhaupt erfolgen kann ;-)

    Die Historie ist in meinen auch kein Problem, jucken mich nicht..

    Vorallem ist mir das bereits seit ich die Karte habe bewusst, brauch es dafür wirklich erst nen Blog Beitrag damit andere "News" Seiten sich darüber aufregen? Lächerlich...

    Antworten Teilen
  8. von Anonymous am 10.02.2016 (14:16 Uhr)

    Das Problem existiert bei mindestens drei weiteren deutschen Banken (testet doch einfach mal eine beliebige andere MasterCard oder Maestro-Karte). Die Schlagzeile ist meiner Meinung nach also stark irreführend, da es sich um ein generelles Problem handelt.

    Antworten Teilen
  9. von Maik Klotz am 10.02.2016 (15:02 Uhr)

    Leute...

    Schaut man sich die Beschreibung der App mal an (siehe Google Play). Dann steht da folgendes:

    This application is an analysis tool for reading contactless NFC EMV credit cards data. *** In some new EMV card, holder name and the transaction history have been removed by issuer to protect privacy.***

    D.h. der Issuer, in dem Fall Wirecard, setzt noch "alte" Karten ein. Das hat so Null mit Number26 zu tun. Und ist auch nicht auf die Number26 Karten begrenzt, sondern sollte auch die Karten der Telekom oder Vodafone betreffen (z.B. die NFC-Sticker)

    Antworten Teilen
  10. von Snowdn am 10.02.2016 (15:13 Uhr)

    Was hat das mit NUMBER26 zu tun? Was soll das bashing? Neid?
    Die werden kaum den Chip auf der Kredikarte selber programmieren, sondern greifen auf ein Teil vom Kartenprovider wirecard zurück. Dort sollte man nachhaken!

    Antworten Teilen
  11. von Ich Bins am 10.02.2016 (17:31 Uhr)

    Habe mal den Test gemacht und von meiner Freundin den Vodafone NFC-sticker an ihrem Handy ausgelesen.

    Da werden die letzten 3 Umsätze gezeigt (mehr hat sie nicht bisher) und Infos zur Karte.

    Antworten Teilen
  12. von Leif am 10.02.2016 (17:36 Uhr)

    Ein "Fehler" ist es nicht, sondern vielmehr ein Feature welches manche nutzen und andere nicht. Bei Mastercard scheint es recht verbreitet zu sein, bei Visa weniger. POS Terminals an den Kassen haben auch keinerlei Funktion diese Daten auszulesen.

    Zumal die Daten sich ja lediglich auf die letzten 10 Beträge und deren Datum beschränken - ohne jegliche Hinweise die darauf schließen lassen wo diese Zahlungen getätigt wurden.

    Antworten Teilen
  13. von Sichere Implementierung am 10.02.2016 (17:57 Uhr)

    Die vorbildliche Antwort zeigt die hohe Ehre und Vorbildlichkeit der Firma.

    Das bei Einkäufen im Ausland die Kreditkarten kopiert wurden ist in allen TV-Serien Standard und gängige Geschichte...
    Das man bei vielen Annahmestellen die NFC wie in US-TV-Serien durchs/ans Handy vom Eigentümer zieht und man die Treiber nicht sichern kann die Daten noch woanders hin zu schieben (wie es bei US-Firmen bei normalen Kreditkarten-Zahlungen schon passiert ist und die verseuchten Lesegeräte die Daten woandershin gemeldet haben!) ist ja wohl normal.
    Das man mit extrastarken Auslesegeräten am Hintern der Touristen vorbeiwischt/fährt/... um alle NFCs der Brieftasche auszulesen wenn sie in einer Schlange warten müssen, dürfte längst normal sein... Die Presse berichtet dann vielleicht in 5 Jahren und wer es verlinkt oder teilt soll vielleicht Link-Steuer dafür bezahlen...

    Ist es indirekt ein Aufruf, ausserhalb Deutschlands nirgendwo mit NFC zu zahlen und die Karte daher nicht ins Ausland mitzunehmen und genauso wie die PIN-ID-Signatur-Karte im Ultrahart gesicherten Tresor-Raum aufzubewahren ?
    Denn vielleicht nur die deutschen Einzelhandels-Terminals sind nach deutscher Vorgabe gesichert und woanders gelten andere Regeln. Oder gehen die Karten in den USA nicht und wieso sollten die dort bei WalMart oder im Apple-Giga-Super-Store oder M$-Super-Store in New York oder bei allen dortigen Jeans-Geschäften deutsches Recht für amerikanische Point-of-Sale-Bezahl-Terminals etablieren ? AliPay gibts für Chinesische Touristen auch hier in Deutschland bei manchen Annahmestellen. Denn gezahlt wird weltweit...
    "POS Terminals im Einzelhandel" ? Händler und Taxifahrer per Handy-NFC soll man also nicht bezahlen und lieber Bargeld nehmen und vorher gegen Gebühren aus dem Automaten ziehen ?
    Kann ich eine zertifizierte digital signierte realtime gültige Liste aller guten Terminals und ihrer Positionen (Ärzte, Rettungswagen, fliegende Händler, Scherenschleifer, Taxifahrer, mobile Friseure,...) realtime mit GPS-Positionen aufs Handy erhalten ? Das natürlich auch kostenlos im Urlaub im Ausland. Und werden diese Terminals jeden Tag überprüft ? Wie schon gesagt: GROßE US-Supermarkt-Ketten-Computer wurden gehacked und outeten danach die Karten-Daten an die Diebe nachdem die Waren ehrlich per Kreditkarte bezahlt wurden...
    Denn digitale Banden werden immer schneller :
    http://www.golem.de/news/gehackte-finanzinstitute-kriminelle-greifen-die-infrastruktur-von-banken-an-1602-119021.html

    Man erkennt immer offensichtlicher die Qualität deutscher Software und somit der Universitäten und Qualität der Diplome...
    Und auch die Presse berichtet Qualitativ und Leistungsmäßig über das Thema wie man es erwarten darf...
    Daher geht es uns jedes Jahr besser...

    Wer schlau ist winkt mal mit PayBack-Karte bei passenden Einzelhändlern seine PayBack-Punkte zusammen und erkennt wie gut die Fernauslese-Technik inzwischen ist. Oder kriegt man von der Bank, Versicherung usw. kostenlose ANTI-Auslese-Hüllen oder versagen die sofort wenn man sich einmal auf die Brieftasche gesetzt hat ?
    Der kleine Kunde und seine Gebühren bezahlen die Verbrechen...

    Antworten Teilen
  14. von Marco am 10.02.2016 (18:09 Uhr)

    Ich verstehe das Problem nicht wirklich. Um solch eine Kreditkarte bzw die Logs lesen zu können benötigt man die Karte in Händen. Zu diesem Zeitpunkt halte ich Karten Nummer, Ablaufdatum, Name und CVC in Händen. Das bedeutet volle Kontrolle über die Karte. Wen interessieren da noch die letzten 10 Transaktionen?! Ich würde mir wünschen dass der CVC Code nicht auf der Karte steht. In meinen Augen ist dass das grössere Faux Pas.

    Jede Bank erzählt einem dass man den Pin der Girokarte nicht notieren sollte bzw. nicht im Geldbeutel aufbewahren sollte. Aber ausgerechnet auf Kreditkarten ist der CVC Code sogar noch aufgedruckt... WTF?!

    Antworten Teilen
    • von FotoBLN am 10.02.2016 (22:24 Uhr)

      Da stimme ich Dir 100% zu :)

      Hinzu kommt das Online und NFC Transaktionen bei fast allen MasterCard's garnicht im EMV Chip gelistet werden... weder die letzten 10 noch überhaupt irgendeiner.

      Ergo... zahlt Kontaktlos, dann steht eh nichts drin :D

      Antworten Teilen
    • von Laco2000 am 16.02.2016 (09:37 Uhr)

      Dafür gibt es eine Lösung bereits: "dynamic CVV card" von SmartDisplayer, dem Pioneer für Displaykarten. Der CVV-Wert ändert sich auf Knopfdruck bei jeder Onlinenutzung und wird in dem Fenster auf der Kartenrückseite für 30 Sekunden (änderbar) angezeigt.

      Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Apps
Kreditkarten für Mitarbeiter: Dank dieses Fintech-Startups habt ihr alle Firmenausgaben im Blick
Kreditkarten für Mitarbeiter: Dank dieses Fintech-Startups habt ihr alle Firmenausgaben im Blick

Spendesk will die Firmenkreditkarte völlig neu erfunden haben. Wir erklären euch, was das Pariser Fintech-Startup damit meint. » weiterlesen

Millionen für deutsche Startups: Der Fintech-Hype erreicht München und Hamburg [Startup-News]
Millionen für deutsche Startups: Der Fintech-Hype erreicht München und Hamburg [Startup-News]

Millionenbeträge für Finanzcheck aus Hamburg und Scalable Capital aus München: Das Thema Fintech dominiert die heutigen Startup-News. Aber auch Berlin wartet mit spannenden Neuigkeiten auf. » weiterlesen

Die Fintech-Startups des Jahres: Gini, Weltsparen, Number26 und fairr
Die Fintech-Startups des Jahres: Gini, Weltsparen, Number26 und fairr

Die Fintech-Startups, die die Branche in Deutschland im Jahr 2015 am stärksten geprägt haben, stehen fest. Die Gewinner von Deutschlands spannendstem Fintech-Wettbewerb im Überblick. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?