Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]

    Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]

Number26. (Bild: Number26)

Number 26 gilt als eines der innovatisten FinTech-Startups Europas. Die Mobile-First-Bank bietet neben einer App auch Kreditkarten von Mastercard und Maestro an, die nach neuesten Erkenntnissen mehr Informationen preisgeben, als sie sollte: Man benötigt nur einen NFC-Reader. Nachtrag: Nicht nur die NFC-Karten von Number26 sind auslesbar.

Update vom 11. Februar, 11:50 Uhr: Das „Rat-Pack“ – Experten der deutschen Payment- und Fintech-Branche – hat einen Kommentar zum vermeintlichen Datenleck der NFC-Karten veröffentlicht, der ein wenig Licht ins Dunkel bringt: Datenleck bei NFC-Karten: Der Sturm im Wasserglas [Kommentar]

Update vom 10. Februar, 16:45 Uhr: Number26 hat t3n eine offizielle Stellungnahme zukommen lassen. Diese besagt, dass die Auslesbarkeit von NFC-fähigen Karten normal und eine Standardeinstellung in Deutschland und Europa sei. Die vollständige Stellungnahme:

Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.

Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.

Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.

Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig. – Number26

Update vom 10. Februar, 13:00 Uhr: Wie Number26 t3n mitteilte, sind nicht nicht nur die Number26-Karten von diesem Fehler betroffen, sondern eine ganze Kartengemeinschaft. Derzeit sei man dabei, sich das Problem zusammen mit den Partnern näher anzusehen. Unter anderem können die Daten auch auch aus der Fidor-Smartcard sowie der ING-Direct-Karte (siehe Kommentar) ausgelesen werden.

Number26-Kreditkarte speichert Transaktionen und mehr

Wie alle Kreditkarten besitzen auch die Number26-Karten einen goldenen EMV-Chip, der unter anderem die Kartenechtheit sicherstellt und vor Duplizierung oder Veränderung der Kartendaten schützt. Im Grunde kann der kleine Computer mit der Rechenleistung eines 80er-Jahre-Chips auch als Datenspeicher verwendet werden und als elektronische Geldbörse fungieren – es gibt sogar einen geschützen Datenbereiche und kryptographische Verfahren.

Bei den Number26-Karten scheint das Thema Datensicherheit jedoch nicht sonderlich groß geschrieben zu werden, wie Christian Hawkins auf dem Blog MetaBubble berichtet: Er hat seine Numer26-Karten per NFC-Kartenlese-App ausgelesen und war negativ überascht, wie viele Daten ungeschützt und unverschlüsselt auf der Karte gespeichert sind.

Sowohl von der Number26-MasterCard als auch der Number26-Maestrocard konnte er neben der kompletten Kartennummer auch das Ablaufdatum auslesen. Damit aber nicht genug, denn per NFC-Lese-App ist es sogar möglich, sich die letzten Transaktionen inklusive Datum und Ausgaben mitsamt der Währungsangabe anzeigen zu lassen.

number26-metabubble
Die Number26 -Kreditkarten speichern mehr als sie sollten. (Bild: Metabubble; Christian Hawkins)

Sicherheitslücke in Number26-Karten: Shops und Dritte können eure Transaktionen auslesen

Wie Hawkins weiter schreibt, ist es für Shops, in denen ihr mit der Karte bezahlt, ein Leichtes die Daten auszulesen und damit zu erfahren, was ihr so ausgebt. Auch Dritte können binnen Sekunden an die gespeicherten Daten gelangen, sofern sie die Karte, oder eure Geldbörse, nur kurz in die Hände bekommen. Zum Selbsttest könnt ihr einfach die Kartenlese-App installieren – der Fehler konnte durch einen weiteren Number26-Kunden verifiziert werden.

Scheckkarteleser NFC (EMV)
Entwickler: Julien MILLAU
Preis: Kostenlos*

Auf Nachfrage beim Number26-Support erhielt Hawkins die Antwort, dass normalerweise keine Daten auf der Karte gespeichert werden, auch in den Allgemeinen Geschäftsbedingungen kann nichts dergleichen gefunden werden. Um zu testen, ob die Karten anderer Banken entsprechende, sensible Daten auf diese Weise speichern, hat Hawkins weitere Karten von Comdirect, Consorsbank und anderen per NFC-Karten-App gescannt – ohne Erfolg. Wir haben bei Number26 um ein Statement gebeten – wir werden den Artikel erweitern, sobald das Unternehmen sich zu Wort gemeldet hat.

Passend zum Thema: Fast so gut wie ein klassisches Konto: Warum der Kundenservice die Achillesferse von Number26 ist

Finde einen Job, den du liebst

26 Reaktionen
Marco
Marco

Ich verstehe das Problem nicht wirklich. Um solch eine Kreditkarte bzw die Logs lesen zu können benötigt man die Karte in Händen. Zu diesem Zeitpunkt halte ich Karten Nummer, Ablaufdatum, Name und CVC in Händen. Das bedeutet volle Kontrolle über die Karte. Wen interessieren da noch die letzten 10 Transaktionen?! Ich würde mir wünschen dass der CVC Code nicht auf der Karte steht. In meinen Augen ist dass das grössere Faux Pas.

Jede Bank erzählt einem dass man den Pin der Girokarte nicht notieren sollte bzw. nicht im Geldbeutel aufbewahren sollte. Aber ausgerechnet auf Kreditkarten ist der CVC Code sogar noch aufgedruckt... WTF?!

Antworten
FotoBLN
FotoBLN

Da stimme ich Dir 100% zu :)

Hinzu kommt das Online und NFC Transaktionen bei fast allen MasterCard's garnicht im EMV Chip gelistet werden... weder die letzten 10 noch überhaupt irgendeiner.

Ergo... zahlt Kontaktlos, dann steht eh nichts drin :D

Antworten
Laco2000
Laco2000

Dafür gibt es eine Lösung bereits: "dynamic CVV card" von SmartDisplayer, dem Pioneer für Displaykarten. Der CVV-Wert ändert sich auf Knopfdruck bei jeder Onlinenutzung und wird in dem Fenster auf der Kartenrückseite für 30 Sekunden (änderbar) angezeigt.

Antworten
Sichere Implementierung
Sichere Implementierung

Die vorbildliche Antwort zeigt die hohe Ehre und Vorbildlichkeit der Firma.

Das bei Einkäufen im Ausland die Kreditkarten kopiert wurden ist in allen TV-Serien Standard und gängige Geschichte...
Das man bei vielen Annahmestellen die NFC wie in US-TV-Serien durchs/ans Handy vom Eigentümer zieht und man die Treiber nicht sichern kann die Daten noch woanders hin zu schieben (wie es bei US-Firmen bei normalen Kreditkarten-Zahlungen schon passiert ist und die verseuchten Lesegeräte die Daten woandershin gemeldet haben!) ist ja wohl normal.
Das man mit extrastarken Auslesegeräten am Hintern der Touristen vorbeiwischt/fährt/... um alle NFCs der Brieftasche auszulesen wenn sie in einer Schlange warten müssen, dürfte längst normal sein... Die Presse berichtet dann vielleicht in 5 Jahren und wer es verlinkt oder teilt soll vielleicht Link-Steuer dafür bezahlen...

Ist es indirekt ein Aufruf, ausserhalb Deutschlands nirgendwo mit NFC zu zahlen und die Karte daher nicht ins Ausland mitzunehmen und genauso wie die PIN-ID-Signatur-Karte im Ultrahart gesicherten Tresor-Raum aufzubewahren ?
Denn vielleicht nur die deutschen Einzelhandels-Terminals sind nach deutscher Vorgabe gesichert und woanders gelten andere Regeln. Oder gehen die Karten in den USA nicht und wieso sollten die dort bei WalMart oder im Apple-Giga-Super-Store oder M$-Super-Store in New York oder bei allen dortigen Jeans-Geschäften deutsches Recht für amerikanische Point-of-Sale-Bezahl-Terminals etablieren ? AliPay gibts für Chinesische Touristen auch hier in Deutschland bei manchen Annahmestellen. Denn gezahlt wird weltweit...
"POS Terminals im Einzelhandel" ? Händler und Taxifahrer per Handy-NFC soll man also nicht bezahlen und lieber Bargeld nehmen und vorher gegen Gebühren aus dem Automaten ziehen ?
Kann ich eine zertifizierte digital signierte realtime gültige Liste aller guten Terminals und ihrer Positionen (Ärzte, Rettungswagen, fliegende Händler, Scherenschleifer, Taxifahrer, mobile Friseure,...) realtime mit GPS-Positionen aufs Handy erhalten ? Das natürlich auch kostenlos im Urlaub im Ausland. Und werden diese Terminals jeden Tag überprüft ? Wie schon gesagt: GROßE US-Supermarkt-Ketten-Computer wurden gehacked und outeten danach die Karten-Daten an die Diebe nachdem die Waren ehrlich per Kreditkarte bezahlt wurden...
Denn digitale Banden werden immer schneller :
http://www.golem.de/news/gehackte-finanzinstitute-kriminelle-greifen-die-infrastruktur-von-banken-an-1602-119021.html

Man erkennt immer offensichtlicher die Qualität deutscher Software und somit der Universitäten und Qualität der Diplome...
Und auch die Presse berichtet Qualitativ und Leistungsmäßig über das Thema wie man es erwarten darf...
Daher geht es uns jedes Jahr besser...

Wer schlau ist winkt mal mit PayBack-Karte bei passenden Einzelhändlern seine PayBack-Punkte zusammen und erkennt wie gut die Fernauslese-Technik inzwischen ist. Oder kriegt man von der Bank, Versicherung usw. kostenlose ANTI-Auslese-Hüllen oder versagen die sofort wenn man sich einmal auf die Brieftasche gesetzt hat ?
Der kleine Kunde und seine Gebühren bezahlen die Verbrechen...

Antworten
Leif
Leif

Ein "Fehler" ist es nicht, sondern vielmehr ein Feature welches manche nutzen und andere nicht. Bei Mastercard scheint es recht verbreitet zu sein, bei Visa weniger. POS Terminals an den Kassen haben auch keinerlei Funktion diese Daten auszulesen.

Zumal die Daten sich ja lediglich auf die letzten 10 Beträge und deren Datum beschränken - ohne jegliche Hinweise die darauf schließen lassen wo diese Zahlungen getätigt wurden.

Antworten
Ich Bins
Ich Bins

Habe mal den Test gemacht und von meiner Freundin den Vodafone NFC-sticker an ihrem Handy ausgelesen.

Da werden die letzten 3 Umsätze gezeigt (mehr hat sie nicht bisher) und Infos zur Karte.

Antworten
Snowdn
Snowdn

Was hat das mit NUMBER26 zu tun? Was soll das bashing? Neid?
Die werden kaum den Chip auf der Kredikarte selber programmieren, sondern greifen auf ein Teil vom Kartenprovider wirecard zurück. Dort sollte man nachhaken!

Antworten
Maik Klotz

Leute...

Schaut man sich die Beschreibung der App mal an (siehe Google Play). Dann steht da folgendes:

This application is an analysis tool for reading contactless NFC EMV credit cards data. *** In some new EMV card, holder name and the transaction history have been removed by issuer to protect privacy.***

D.h. der Issuer, in dem Fall Wirecard, setzt noch "alte" Karten ein. Das hat so Null mit Number26 zu tun. Und ist auch nicht auf die Number26 Karten begrenzt, sondern sollte auch die Karten der Telekom oder Vodafone betreffen (z.B. die NFC-Sticker)

Antworten
Anonymous
Anonymous

Das Problem existiert bei mindestens drei weiteren deutschen Banken (testet doch einfach mal eine beliebige andere MasterCard oder Maestro-Karte). Die Schlagzeile ist meiner Meinung nach also stark irreführend, da es sich um ein generelles Problem handelt.

Antworten
Marco
Marco

"neben der kompletten Kartennummer auch das Ablaufdatum auslesen, was nicht sein darf."
Das ist doch schmarn! Das muss ja wohl übertragen werden, damit ne Zahlung überhaupt erfolgen kann ;-)

Die Historie ist in meinen auch kein Problem, jucken mich nicht..

Vorallem ist mir das bereits seit ich die Karte habe bewusst, brauch es dafür wirklich erst nen Blog Beitrag damit andere "News" Seiten sich darüber aufregen? Lächerlich...

Antworten
Maik Klotz

so wie vermutlich jede NFC Karte.

Antworten
grep

Hallo Andreas Floemer,

es wird übrigens auch KEINE (!!!) Schufaabfrage bei Kontoeröffnung gemacht - jeder erhält dort garantiert ein Girokonto.

Ciao, Sascha.

Antworten
Christian Hawkins

Na, wenigstens habt ihr von Number26 eine Antwort bekommen. Ich habe es via verschiedener Kanäle versucht, der einzige auf dem irgendetwas geschah, war deren Facebook page. Die Reaktion allerdinmgs keine Antwort, sondern: Löschung.

Antworten
grep

Hallo ...,

Number26 macht(e) - zunächst - den seriösen Eindruck (tatsächlich) innovativ zu sein ..., mittlerweile zeigt sich allerdings relativ explizit das Number26 nicht imstande war / ist ihr (Kern-)Geschäft abzuwickeln.
Ich wechselte seinerzeit von der Targobank (vormals City Bank) zur Fidor Bank AG, weil die etablierten Kreditinstitute leider stark zu wünschen übrig lassen.

Vielleicht mag die t3n-Redaktion auch mal einen Artikel über die Fidor Bank AG veröffentlichen.
Wer jetzt wechseln möchte findet über diesen Link - https://goo.gl/bpS9S7 - zum entsprechenden Formular.

Ciao, Sascha.

Antworten
Andreas Floemer

Die Fidor-Smartcard ist unter anderem auch betroffen. Siehe Nachtrag im Artikel.

Antworten
grep

Hallo Andreas Floemer,

ich nutze - zum Glück - noch die Vorgänger-Mastercard, ich finde die neue Smartcard ist wirklich blöd.

Ansonsten lässt man mich als P-Konto-Kunden in Frieden meine Bankgeschäfte abwickeln - im Gegensatz zu anderen Geldhäusern; außerdem habe ich hier (auch als P-Konto-Kunde) eine (Prepaid-)Kreditkarte ... und da das Kreditkartenguthaben dem Kontoguthaben entspricht ist auch dieses vor Pfändungen sicher.
Es gibt hin und wieder kleine Aufmerksamkeiten wie kostenlose SIM-Karten mit entsprechendem Guthaben usw. !

UND ..., das Kreditkarten- / Girokonto steht NICHT (!!!) in der Schufa !

Ciao, Sascha.

Pixelschubser
Pixelschubser

Wechseln?

- einmal Bargeld abheben pro Monat in Eurozone kostenfrei
- ab zweitem Mal Bargeld abheben im Monat in Eurozone Kosten von je 2,50 Euro
- Jahresgebühr von 14,95 Euro
- keine EC-Karte
- kleines Institut ohne Bonitätsbewertung von Ratingagenturen

Ähm, nein danke!

Antworten
grep

Hallo Pixelschubser,

soweit man KEINE Barverfügung via Smartcard vornehmen sollte so wird dies mit 2,- € (pro Monat) belohnt, bei einer Verfügung am Geldautomaten erhält man dennoch 1,- € Gutschrift in betreffendem Monat.

Ergo erhält man zwischen 12,- € bis 24,- € im Jahr womit sich die Jahresgebühr der Smartcard dann amotisiert.
Dennoch, mir gefällt die Vorgänger-Mastercard besser !

Ciao, Sascha.

grep

Hallo Pixelschubser,

außerdem ist die Kontoführung komplett kostenlos, es gibt einen minimalen Guthabenzinssatz von (derzeit) 0,25% und der Dispozins liegt wenn ich mich nicht irre zwischen 5-6%.

Ist doch hammergeil !

Ciao, Sascha.

FotoBLN
FotoBLN

Keine EC Karte ist aber ein Dummes Argument :D

http://www.die-deutsche-kreditwirtschaft.de/dk/zahlungsverkehr/kartengestuetzter-zahlungsverkehr/girocard.html

Ratingagenturen....autschi :D

Die SmartCard hat übrigens andere Konditionen.

FotoBLN
FotoBLN

Und die SmartCard hat keine Jahresgebühr @grep

grep

Hallo FotoBLN,

stimmt die 14,95 € fallen NICHT für die SmartCard an sondern für die Fidor Debit MasterCard.

Hatte die beiden Karten verwechselt.

Ciao, Sascha.

Andreas
Andreas

Wir haben gerade herausgefunden, dass die Kreditkarten der ING Direct ebenso betroffen sind.

Antworten
Thomas
Thomas

Also, meine ING-Diba VISA Karte zeigt kein Log an. Karten Nummer und Ablaufdatum ja, kein Log. Eine Amex zeigt ebenfalls Nummer und Datum, kein Log.

Antworten
Sichere Implementierung
Sichere Implementierung

Bei der Geldkarte ist es kein Bug sondern ein Feature wenn man die Beträge, Datum/Uhrzeit und die Nummer des Gerätes wo man bezahlt hat auslesen kann.

Aber auch hier
http://www.golem.de/news/gehackte-finanzinstitute-kriminelle-greifen-die-infrastruktur-von-banken-an-1602-119021.html (letzter Absatz, "mangelhaft implementiert")
steht was ich schon lange sage: Die Implementierungen sind fehlerhaft.
Es gibt dafür in Deutschland Zentrale Vorgaben und Stellen. Schön wäre also ein Black-Briefkasten wo Konkurrenten oder Insider nennen würden welches PDF-Dokument und die Seite und welcher Absatz die relevanten Infos enthält. In dieser Branche arbeitet man nicht so sehr mit Abmahnungen usw. wie z.b. bei den Online-Händlern. Hier posten ja auch ständig Leute Insider-Wissen was man alles tolles mit Mobile-Payment und den verschiedenen Chipkarten geht aber die kleinen Kunden leider nicht wissen weshalb die Investments der kleinen Supermärkte-Franchise-Nehmer und Sparkassen usw. sich viel langsamer als nötig auszahlen und die Leute immer noch viel mehr Bargeld als nötig am Automaten holen und in der Gegend herumschleppen müssen.

Als Presse ist man das weisse Blutkörperchen. Man sollte also herausfinden was laut Vorgaben erforderlich ist und ob z.b. laut Vorgaben "alle betroffenen Karten eingezogen und kostenlos ausgetauscht" werden müssen und passend den Verbraucherschutz informieren. Nichts ist einfacher als passende Gesetze Copy-Pasten und die Durchsetzung zu fordern...

Da aktuell viele Sicherheitsmeldungen in den News laufen sollte man den Grund dranschreiben. Vermutlich eine Konferenz oder Internet-Safe-Day oder so.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen