Blick in fremde Konten: Massive Probleme beim Onlinebanking von Comdirect

Ich denke da es einige gibt die ein Comdirect Konto haben wird diese Nachricht nicht gerade für Freude sorgen.

Kunden von Comdirect hatten am heutigen Montagmorgen Zugriff auf die Konten anderer Kunden. Wenn sie sich einloggten, landeten sie nicht in ihren Konten sondern konnten fremde Kontostände einsehen. Comdirect hat sich noch nicht geäußert.

Kunden der Direktbank Comdirect hatten am Montagmorgen nach dem Einloggen in ihr Konto Einblick in fremde Konten. Mehrere Leser von heise online konnten das Problem nachvollziehen. Demnach konnten sich die Nutzer zwar einloggen, sahen dann aber die Kontodaten – also beispielsweise den Kontostand – anderer Nutzer und konnten auch das Postfach einsehen. Teilweise gelang der Login allerdings erst nach mehreren Versuchen, dann aber landeten die Nutzer in fremden Konten.


Den ganzen Bericht auf heise:

heise.de/sec…tml

Beste Kommentare

Ich habe nach dem Login direkt mal alle Vorlagen und Daueraufträge der anderen gelöscht. Dann habe ich die Kreditkartendaten gespeichert und auf allen mir bekannten Websites Lastschriften eingerichtet. Viel mehr konnte man leider ohne TANs nicht anrichten aber man tut natürlich was man kann.

Bearbeitet von: "mmmax" 18. Jul 2016

"It's not a Bug, it's a feature!"
Marcel, 34, Administrator der Comdirect

Bearbeitet von: "SeeeD" 18. Jul 2016

admin

HOLY MOLY!



Pass auf, jetzt wurden deine Millionen exposed.

38 Kommentare

Verfasser

Kommentare bei Facebook:
facebook.com/com…ct/


Da schreiben Kunden das sie Zugriff auf andere Konten haben.

Schade mir hat keiner Geld überwiesen...:)

"It's not a Bug, it's a feature!"
Marcel, 34, Administrator der Comdirect

Bearbeitet von: "SeeeD" 18. Jul 2016

Hab vor 50 Min meine KK Rechnung überwiesen. :s
Hoffe von meinem Konto xD

Und erinnert mich an Steam, da gab es sowas dieses Jahr auch. -.-

unglaublich, was die sich da erlauben.

Bearbeitet von: "woodrobertz" 18. Jul 2016

Ich hab schonmal Popcorn gemacht und gönne mir nun die Kommentare bei Facebook...

Ich habe nach dem Login direkt mal alle Vorlagen und Daueraufträge der anderen gelöscht. Dann habe ich die Kreditkartendaten gespeichert und auf allen mir bekannten Websites Lastschriften eingerichtet. Viel mehr konnte man leider ohne TANs nicht anrichten aber man tut natürlich was man kann.

Bearbeitet von: "mmmax" 18. Jul 2016

Da muss wohl Einiges schief gegangen sein.

Schöne digitale Welt.
Ich hoffe das Bargeld wird schnell abgeschafft.

Bearbeitet von: "okolyta" 18. Jul 2016

Avatar

GelöschterUser178172

Wow, gab es das schon mal bei einer Bank. Das ist ja wohl mega peinlich und fast worst case für die comdirect. Vor allem wie haben die das geschafft? Da stimmt ja in den Datenbanken gar nichts mehr^^ Bzw. welcher IT-Dienstleister ist dafür verantwortlich, haben die doch bestimmt outgesourced...

Bearbeitet von: "deletedUser178172" 18. Jul 2016

Admin

HOLY MOLY!

Avatar

GelöschterUser178172

okolyta

Schöne digitale Welt. Ich hoffe das Bargeld wird schnell abgeschafft.


Ironie Tag vergessen, nicht dass das noch jemand falsch versteht. Aber es läuft alles darauf hinaus, in USA ist man aber schon viel weiter, da geht ohne KK gar nichts mehr. Hier wird jetzt erst mal der 500€ Schein aus dem Verkehr gezogen...

Admin

Dachte mir schon letzte Nacht, dass die Seite irgendwie komisch aussieht... War auch über Safari nicht zu benutzen. Aber schon übel, dass sie die Seite nicht sofort offline genommen haben temporär.

admin

HOLY MOLY!



Pass auf, jetzt wurden deine Millionen exposed.

okolyta

Schöne digitale Welt. Ich hoffe das Bargeld wird schnell abgeschafft.



Ach, da brauchen wir gar nicht über den Teich schauen. Ein Blick in den Norden zeigt, das die schon weiter sind.
Ironie Jochen füge ich ein.

bartmz

Wow, gab es das schon mal bei einer Bank. Das ist ja wohl mega peinlich und fast worst case für die comdirect. Vor allem wie haben die das geschafft? Da stimmt ja in den Datenbanken gar nichts mehr^^ Bzw. welcher IT-Dienstleister ist dafür verantwortlich, haben die doch bestimmt outgesourced...


Vermutlich wurden Session-IDs doppelt vergeben oder so, ich bezweifle stark, dass sowas mit Datenbankproblemen zu erklären ist.

Zu 99% Session-Handling-Problem

Admin

admin

HOLY MOLY!



Ertappt

Schon ultrakrank, wenn nicht gar der Supergau für eine Bank würde ich mal behaupten. Auch wenn nichts passiert ist/wäre, nagt sowas natürlich unglaublich an dem Ruf

Bohne

Vermutlich wurden Session-IDs doppelt vergeben oder so, ich bezweifle stark, dass sowas mit Datenbankproblemen zu erklären ist.Zu 99% Session-Handling-Problem


Das wäre gut. Dann wären nur Leute betroffen, die von gestern zu heute eingeloggt waren.

Bohne

Vermutlich wurden Session-IDs doppelt vergeben oder so, ich bezweifle stark, dass sowas mit Datenbankproblemen zu erklären ist.Zu 99% Session-Handling-Problem



Wenn Session-IDs doppelt vergeben werden können, heißt das, dass die Sessions kein unique Attribut haben. Wenn das nicht der Fall ist, ist das Session-Handling in meinen Augen eh schon fürn Arsch.

Bohne

Vermutlich wurden Session-IDs doppelt vergeben oder so, ich bezweifle stark, dass sowas mit Datenbankproblemen zu erklären ist.Zu 99% Session-Handling-Problem


Muss ja nicht doppelt vergeben worden sein, vielleicht war auch irgendwas an der internen Verarbeitung der ID nicht in Ordnung, wer weiß

Wäre mal interessant zu wissen, ob nur Kontodaten von Nutzern gesehen werden konnten, die ebenfalls eingeloggt waren

bartmz

Wow, gab es das schon mal bei einer Bank. Das ist ja wohl mega peinlich und fast worst case für die comdirect. Vor allem wie haben die das geschafft? Da stimmt ja in den Datenbanken gar nichts mehr^^ Bzw. welcher IT-Dienstleister ist dafür verantwortlich, haben die doch bestimmt outgesourced...



Die nutzen bestimmt irgendwas von der CoBa mit, ist ja die Mutti mit knapp 80%....

Bohne

Muss ja nicht doppelt vergeben worden sein, vielleicht war auch irgendwas an der internen Verarbeitung der ID nicht in Ordnung, wer weiß ;)Wäre mal interessant zu wissen, ob nur Kontodaten von Nutzern gesehen werden konnten, die ebenfalls eingeloggt waren



Nachdem ich erst mein eigenes Session-Handling programmiert habe, weiß ich ehrlich gesagt nicht, wie man das hin bekommt. Aber die Struktur wird wohl bei großen Banken generell anders aussehen, als bei kleinen Uniprojekten. ^^

Ich muss mein Konto bei denen mal schließen. Hat jemand eine Empfehlung für eine Bank mit kostenfreier MC/Visa Card und weltweit gebührenfreier Bargeldabhebung?

admin

HOLY MOLY!




Krank ja, aber vergesslich sind User immer. Handyflash. Logitel, ebay, Sony, etc. alle wurden gehackt. Nicht schön, aber interessiert nach 2 Wochen keinen mehr. Heute mag es für Comdirect dumm gelaufen sein, aber außer Datenschutzbeauftragten passiert nichts. Wir kriegen nie eine Entscädigung dafür.

Übrigens ist das HIER viel gravierender:

heise.de/sec…tml

Wenn ISIS zuschlägt, sind wir Bonner alle tot. Das wäre ein Riesenverlust für Mydealz.

Die "Stellungnahme" der comdirect in ihrem Forum:

Hallo Community,wir bedauern, dass wir uns erst jetzt bei euch melden.Der technische Fehler auf unserer Website ist vollständig behoben. Das Vermögen von unseren Kunden blieb jederzeit erhalten. Solltet ihr hiervon betroffen gewesen sein, werdet ihr unverzüglich direkt von uns informiert.Gruß vom Social-Media-Team



Der Abschnitt "Das Vermögen von unseren Kunden blieb jederzeit erhalten. Solltet ihr hiervon betroffen gewesen sein, werdet ihr unverzüglich direkt von uns informiert." erschließt sich mir nicht wirklich.

Hallo Community,wir bedauern, dass wir uns erst jetzt bei euch melden.Der technische Fehler auf unserer Website ist vollständig behoben. Das Vermögen von unseren Kunden blieb jederzeit erhalten. Solltet ihr hiervon betroffen gewesen sein, werdet ihr unverzüglich direkt von uns informiert.Gruß vom Social-Media-Team


ich wette, dass nicht alle comdirect-Kunden den Pappnasen vom "Social-Media-Team" folgen.

woodrobertz

http://app.handelsblatt.com/finanzen/steuern-recht/recht/online-banking-comdirect-informiert-finanzaufsicht-ueber-datenschutz-gau/13894804.html


Demnach war mein Konto wohl nicht betroffen. Viel zu sehen hätte es aber sowieso nicht gegeben. Tagegeld liegt woanders und Kreditkarte habe ich auch vor ein paar Monaten gekündigt.

Avatar

GelöschterUser531353

woodrobertz

http://app.handelsblatt.com/finanzen/steuern-recht/recht/online-banking-comdirect-informiert-finanzaufsicht-ueber-datenschutz-gau/13894804.html



Ich habe bei denen gar keine Mail-Adresse hinterlegt. Wenn mein Konto betroffen wäre, hätte ich diese elektronische Nachricht somit gar nicht bekommen können.
Ich würde mich daher nicht darauf verlassen, dass du tatsächlich nicht betroffen warst, nur weil du keine Mail bekommen hast, genauso wenig wie ich es ausschließen kann.

woodrobertz

http://app.handelsblatt.com/finanzen/steuern-recht/recht/online-banking-comdirect-informiert-finanzaufsicht-ueber-datenschutz-gau/13894804.html


Ich gehe davon aus, dass diese Info in die Postbox im Onlinebanking zugestellt wurde.

Avatar

GelöschterUser531353

Plumpsack

Ich gehe davon aus, dass diese Info in die Postbox im Onlinebanking zugestellt wurde.



Stimmt, da könntest du Recht haben. Der Screenshot bei Handelsblatt sieht nach PDF aus.
Würde bei mir aber vermutlich untergehen bei der ganzen Werbung die dort ebenfalls landet, vor allem da ich nur alle paar Wochen mal über den Browser einlogge, und ansonsten nur HBCI.

Eine richtige Mitteilung an Betroffene sieht für mich anders aus

Wen es betrifft: Meine Comdirect Kreditkarte wurde heute gesperrt, weil jemand letzten Mittwoch damit bei iTunes shoppen gegangen ist. Daraufhin haben wir eine andere Comdirect KK in der Family selbst gecheckt, die die Bank nicht gesperrt hat: auch gekapert worden und jetzt eben selber gesperrt. Elektronische Nachrichten, dass die betreffenden Konten von dem oben genannten Zwischenfall betroffen waren, gab es in beiden Fällen NICHT! Da die Karten nur selten genutzt werden liegt für mich ein Zusammenhang sehr, sehr nahe, Scheiss-Bank.

Wandler der Wege

Wen es betrifft: Meine Comdirect Kreditkarte wurde heute gesperrt, weil jemand letzten Mittwoch damit bei iTunes shoppen gegangen ist. Daraufhin haben wir eine andere Comdirect KK in der Family selbst gecheckt, die die Bank nicht gesperrt hat: auch gekapert worden und jetzt eben selber gesperrt. Elektronische Nachrichten, dass die betreffenden Konten von dem oben genannten Zwischenfall betroffen waren, gab es in beiden Fällen NICHT! Da die Karten nur selten genutzt werden liegt für mich ein Zusammenhang sehr, sehr nahe, Scheiss-Bank.



Da kann es keinen Zusammenhang geben! Im Onlinebanking sind 4 Ziffern der Kreditkarte mit einem X versehen und die 3-stellige Prüfnummer wird auch nirgends erwähnt...

Wandler der Wege

Wen es betrifft: Meine Comdirect Kreditkarte wurde heute gesperrt, weil jemand letzten Mittwoch damit bei iTunes shoppen gegangen ist. Daraufhin haben wir eine andere Comdirect KK in der Family selbst gecheckt, die die Bank nicht gesperrt hat: auch gekapert worden und jetzt eben selber gesperrt. Elektronische Nachrichten, dass die betreffenden Konten von dem oben genannten Zwischenfall betroffen waren, gab es in beiden Fällen NICHT! Da die Karten nur selten genutzt werden liegt für mich ein Zusammenhang sehr, sehr nahe, Scheiss-Bank.



Dann erklär doch mal, wie zwei Kreditkarten von zwei verschiedenen Leuten, die geographisch hunderte von Kilometern getrennt sind und die weder von den gleichen Rechnern noch bei den gleichen Firmen eingesetzt wurden, gleichzeitig kompromittiert und am gleichen Tag bei Internetbetrügereien genutzt werden konnten wenn nicht durch ein Sicherheitsproblem der Bank?

EDIT: Selbstverständlich auch keine Reaktionen auf Phishing-Mails o.ä.!

Wandler der Wege

Wen es betrifft: Meine Comdirect Kreditkarte wurde heute gesperrt, weil jemand letzten Mittwoch damit bei iTunes shoppen gegangen ist. Daraufhin haben wir eine andere Comdirect KK in der Family selbst gecheckt, die die Bank nicht gesperrt hat: auch gekapert worden und jetzt eben selber gesperrt. Elektronische Nachrichten, dass die betreffenden Konten von dem oben genannten Zwischenfall betroffen waren, gab es in beiden Fällen NICHT! Da die Karten nur selten genutzt werden liegt für mich ein Zusammenhang sehr, sehr nahe, Scheiss-Bank.



Dann erkläre mir mal, wie jemand 4 Ziffern der Kreditkartennummer + die 3 Ziffern vom Prüfcode erraten soll

Dann erkläre mir mal, wie jemand 4 Ziffern der Kreditkartennummer + die 3 Ziffern vom Prüfcode erraten soll



Weitaus größeres Sicherheitsproblem als zugegeben :P

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Ryzen Build für Premiere22
    2. Leise PC Tastatur1015
    3. Preiswertes 125er Bike?22
    4. Coca Cola Gewinnspiel Gutscheincodes zu verschenken56

    Weitere Diskussionen