API van internetbank N26 blijkt erg kwetsbaar

De mobiele internetbank N26, die zijn diensten nu Europees uitrolt blijkt een groot veiligheidsprobleem te hebben met zijn API. Derde partijen kunnen transacties onopgemerkt wijzigen en hele accounts overnemen. Als de bank er al achter komt, duurt dat vaak meerdere dagen.

De kwetsbaarheid van de API werd duidelijk tijdens de 33e gebruikersbijeenkomst (33C3) van de Duitse CCC, Chaos Computer Club.

Veiligheidsonderzoeker Vincent Haupert gaf een vermakelijke demonstratie van de kwetsbaarheid van N26’s API. “Op een gegeven moment kreeg mijn professor wat juridische bedenkingen”.

De kwetsbaarheid in N26’s systeem zit in het feit dat het mobiele programma niet met certificaten werkt. Dat zorgde ervoor dat Haupert real time transactiemanipulaties kon uitvoeren.

Een van de vermakelijke uitschieters in de demonstraties bleek het gebruik van iOS’ Siri met N26. Met een technisch trucje, via de API, werden in een half uur tweeduizend Siri-transacties van 1 cent gedaan (video vanaf 13:37). Drie weken later ontving de geldontvanger een berichtje van N26 met de vraag zijn verdachte gedrag te verklaren, want hij had zoveel geld verzonden. Volgens de bank. Haupert: “Dat is net zoiets als wanneer Gmail je account wil opheffen omdat je spam ontvangt.”

De technische kwetsbaarheden bestaan inmiddels niet meer. Voordat hij zijn presentatie gaf, nam Haupert, na bemiddeling van CCC, in september contact op met N26 en hielp hen het euvel te verhelpen. De mobiele bank schrijft er op 14 december over op zijn blog. Op 26 december kondigt het aan dat er in de zomervakantie ruimte is voor twee veiligheidsonderzoekers om aan veiligheidsissues bij het bedrijf te werken.