Научный сотрудник университета Эрлангена-Нюрнберга (Германия) Винсент Хупер в ходе всемирного конгресса хакеров (Chaos Communication Congress) рассказал, что ему и нескольким его соратникам удалось обнаружить уязвимости в ПО, которое используется для обслуживания клиентов N26. Как пишет Reuters, эта компания занимается предоставлением банковских услуг, позиционируя себя как «мобильный банк».
Она вышла на финансовый рынок в начале 2015 г., предлагая клиентам возможность открытия счетов и совершения финансовых операций с помощью смартфона. В прошлом году проект привлек около 12 млн. евро инвестиций для создания цифрового банковского счета с доступом через мобильные приложения. В число инвесторов N26 входит Питер Тиль, бывший когда-то первым внешним инвестором Facebook.
N26 позиционирует себя как альтернативу традиционным банкам, у неё нет филиалов. Несмотря на это, мобильный банк все равно полагается на традиционные банковские сети. Счета N26 привязаны к дебетовой карте, которую можно использовать в банкоматах и магазинах, принимающих MasterCard. Компания не имеет банковской лицензии, поэтому все деньги на счетах пользователей фактически находятся в управлении немецкого банка Wirecard.
Преимуществом, которое выделяет N26 на фоне «классических» банков, можно назвать скорость открытия счетов — это занимает несколько минут. «Банк утверждает, что вы можете открыть банковский счет за восемь минут. Оказывается, потерять свои средства вы можете ещё быстрее», — сказал Хупер. Эксперт не раскрывает информацию о найденных им в приложениях N26 для iOS и Android уязвимостях, но известил о них сотрудников компании.
По мнению N26, бреши безопасности носят «теоретический характер», но всё же требуют принятия превентивных мер. Учитывая, что банковский сектор — одна из приоритетных целей для хакерских атак, стремление немецкого банка обезопасить себя даже от «теоретических» уязвимостей можно лишь поприветствовать. С этим согласятся 200 тыс. клиентов 17 европейских стран, которые делятся с N26 информацией о своих расходах в магазинах одежды или ресторанах, например.
Что касается деталей операции, которую предпринял Хуперт сотоварищи, то, по его словам, добыть информацию о клиентах N26 ему позволили базы данных пользователей сервиса хранения файлов Dropbox. Напомним, что в конце августа хакерам удалось похитить данные о 68 млн. его пользователей. Сличение этой информации с базами данных N26, полученных путем взлома ПО онлайн-банка, позволило раздобыть учетные данные 33 тыс. его клиентов. По словам ИБ-специалиста, «уязвимости в коде позволяют применить богатый хакерский инструментарий и подрывают выстраивавшееся десятилетиями доверие клиентов к банковской системе». N26 отрицает возможные утечки данных третьим лицам, но исследователь уверен, что имеющиеся в его распоряжении электронные адреса помогут заманить в фишинговую ловушку тысячи клиентов онлайн-банка.
Нужно заметить, что периодически выявляемые в ПО онлайн-банков уязвимости не позволяют говорить о замене традиционных банков «чистыми» хайтек-компаниями типа N26, использующих мобильную связь для обслуживания клиентов. Собственно, представитель N26 признал этот факт в интервью Reuters.