Sicherheitslücke bei Fidor

[Xer0]

Ich hab heute mal die TAN-Handynummer auf meine neue umgestellt, und dabei fiel mir auf:

- Es wird nicht die alte Nummer verifiziert / keine mTAN an diese gesendet, sondern nur an die neue Nr
- Es kommt auch keine eMail über die erfolgte Änderung

Lediglich die FIN wird abgefragt, eine 6 stellige Zahl die man vor paar Wochen mal festlegen sollte

Damit entfällt eigentlich der ganze Schutz einer 2FA, da nur 2 statische "Passwörter" benötigt werden
Beide ließen sich per Phishing oder Keylogger erbeuten, FIN setzen vllt manche gar aufs Geburtsdatum da 6 Stellen

Ich poste das hier, da sicher 99% der Fidorkunden sich wegen Bitcoin.de und Kraken da angemeldet haben
Wenn aber mal jemand Kontaktdaten der IT-Stelle zum Weiterleiten hat, am besten gleich hinmalien/faxen!

[Serpens66]

ja sowas habe ich befürchtet, als das mit der FIN kam... aber es stand dort, dass man die FIN wohl nur für die Handy App brauchen würde, deswegen dachte ich es wäre alles okay.

Also ja, wir sollten da mal ein wenig stress machen. Am besten geht das in der Community, da sich dort dann noch mehr Leute anschließen und das großen Druck erzeugt.
Bisher war ich immer derjenige, der da viel stress gemacht hat vllt möchtest du nun den Anfang machen? xD

[Aswan]

ja sowas habe ich befürchtet, als das mit der FIN kam...

Ich auch. Hab damals direkt bei Fidor angerufen und wurde einmal von einer nicht sehr kompetenten Dame abgewimmelt. Ein erneuter Anruf brachte mir eine andere Mitarbeiterin, die zwar nicht alles erklären konnte, aber mich wenigstens zu irgend so einem technik Typ durchstellte.
Als ich meine Bedenken schilderte meinte er, dass es sicher sei und ich, dann es unsicher sei.... So wurden wir uns also nich einig und ich sagte, dass ich sowieso keine tracker (smartphone?) benutze und man diese FIN doch für meinen account einfach beaktivieren solle.
Leider wurde darauf nicht eingegangen. Ich hab nun erst überlegt ob ich dagegen irgendwie vorgehen soll dass mein Account ohne das wählen einer solchen Nummer nicht zugänglich ist, bis ich entdeckt habe, dass, wenn man die email nach eingabe nicht bestätigt, die FIN auch nicht gesetzt wird, man aber in den Account kommt.
So habe ich heute noch keine FIN und muss nur jedesmal beim einloggen in meinen Fidor account auf der Tastatur rumhämmern und dann die Spammail löschen die daraufhin geschickt wird (ich muss mir da mal nen mail filter für erstellen )

Was nun passieren würde wenn ich meine Nummer ändern wollen würde, wäre mal sehr interessant. Vielleicht ist es malwieder Zeit für ein Nummernwechsel, den übrigens jeder regelmäßig und anonym durchführen sollte

[Xer0]

Was nun passieren würde wenn ich meine Nummer ändern wollen würde, wäre mal sehr interessant.

kannst du das mal ausprobieren? danach halt wieder zurück ändern

wenn sich die Nr ohne gesetzte FIN ändern lässt... das wäre der Super GAU

[Serpens66]

Was nun passieren würde wenn ich meine Nummer ändern wollen würde, wäre mal sehr interessant. Vielleicht ist es malwieder Zeit für ein Nummernwechsel, den übrigens jeder regelmäßig und anonym durchführen sollte

wieso sollte man einen Nummerwelchsel durchführen?

Das einzige was man bei sms tan Verfahren beachten muss, dass es sionnvoll ist:
- ein Handy ohne internet zu nutzen
- Sichergehen, dass der Anbieter bei dem das handy ist, nicht einfach so auf Anfrage neue Simkarten an neue adressen oder ähnliches verschickt wodurch sich ein fremder Zugang zu der Handynummer versachaffen kann.

Edit: ich hatte auch wegen der FIN angerufen. Weiß nicht mehr genau was beim Gespräch gesagt wurde... aber ich glaube es war halt die Info, dass es nur für die Handy App wichtig sei.

edit2:
mal aus der AGB:

"2.1 Personalisierte Sicherheitsmerkmale
Personalisierte Sicherheitsmerkmale sind der Benutzername, das persönliche
Kennwort sowie die einmal verwendbaren mobilen Transaktionsnummern („mTAN“)
bzw. die ganz persönliche Identifikation Nummer eines Kunden, die sog. FIN („Fidor
Identification Number“). Die FIN ist für Privatkunden für die Kontoverwaltung nutzbar.
Darüber hinaus ersetzt sie die mTAN bei Transaktionen mit der Fidor Smartphone
App."

Ich finde nichts in der AGB bezüglich der FIN und Wechsel der Handynummer...ihr?


edit3:
hier den eintrag aus den ganz aktuellen AGB zum Thema Handynummer ändern:

Änderung der Mobilfunknummer: Der aktuelle Prozess sieht derzeit folgendes vor: Der Nutzer
beantragt die Änderung der Mobilfunknummer und erhält daraufhin eine Überweisung auf sein
FidorPay-Referenzkonto in Höhe des in der aktuellen Preisliste der Fidor angegebenen Betrags. Im
Seite 82 von 163
Betreff dieser Überweisung erhält der Nutzer einen sog. „Verifikationscode“ (darunter wird ein
6stelliger Code verstanden), den der Nutzer dann bei Änderung seiner Mobilfunknummer im
vorgesehenen Feld in der dem Nutzer per E-Mail beschriebenen Vorgehensweise eingeben muss.
Nur mit diesem Verifikationscode kann die Mobilfunknummer geändert werden. Die Fidor Bank kann
diesen Prozess ändern

Sie dürfen diese Vorgehensweise also logischerweise ändern, aber dann muss doch auch die agb angepasst werden.

Ansonsten...Wenn jemand sowohl an das Passwort und an die FIN kommen konnte, kann er eigentlich auch diesen Verifikationscode in erfahrung bringen.  Okay er benötigt zusätzlich noch Zugang zum Email Konto.

[Xer0]

wieso sollte man einen Nummerwelchsel durchführen?

neues Handy / neuer Vertrag

[Serpens66]

habe jetzt mal in der Community angefragt, mal gucken was kommt:
https://community.fidor.de/smart_questions/betreff-aenderung-der-mobilfun

[Aswan]

Was nun passieren würde wenn ich meine Nummer ändern wollen würde, wäre mal sehr interessant.

kannst du das mal ausprobieren? danach halt wieder zurück ändern

wenn sich die Nr ohne gesetzte FIN ändern lässt... das wäre der Super GAU

das wäre tatsächlich interessant in Erfahrung zu bringen, zumal ich kein Referenzkonto habe, das stattdessen zur Verifizierung genutzt werden kann. Das heißt aber auch, dass ich, falls es nicht einfach so geht, vielleicht ein problem hätte die Nummer erstmal zu ändern, wegen postalischer verifizierung oder sonstwas, und das ganze dann 2 mal weils wieder zurückgeändert werdne müsste.

Ich könnte aber mal bei Fidor anrufen und fragen was passieren würde

wieso sollte man einen Nummerwelchsel durchführen?

neues Handy / neuer Vertrag

Zum Beispiel, oder man hat die Nummer personen gegeben, von denen man nicht möchte dass diese sie haben (Ehemalige Freunde/Bekannte, Firmen, Regierungsbehörden etc.)

[JohnD]

wieso sollte man einen Nummerwelchsel durchführen?

neues Handy / neuer Vertrag

Ich finde kaum etwas so ätzend wie Leute die ständig ihre Handynummer wechseln.

Jeden Tag kriege ich so ne SMS ("Hey Liebe Leute meine neue Handynummer ist.... blabla ... " und am besten nicht mal nen Namen dazu schreiben).

Was ist so schlimm daran seine Handy Nummer zu behalten?
Ich habe seit 15 Jahren die selbe Nummer und bin sehr zufrieden damit.

[Xer0]

Ich finde kaum etwas so ätzend wie Leute die ständig ihre Handynummer wechseln.

Jeden Tag kriege ich so ne SMS ("Hey Liebe Leute meine neue Handynummer ist.... blabla ... " und am besten nicht mal nen Namen dazu schreiben).

Was ist so schlimm daran seine Handy Nummer zu behalten?
Ich habe seit 15 Jahren die selbe Nummer und bin sehr zufrieden damit.

ist zwar OT:  25€ Portierungsgebühr

[fronti]

Was ist so schlimm daran seine Handy Nummer zu behalten?
Ich habe seit 15 Jahren die selbe Nummer und bin sehr zufrieden damit.

ist zwar OT:  25€ Portierungsgebühr

die man aber ganz oft wieder gutgeschrieben bekommt

[Serpens66]

hm.. bei meiner Community Anfrage passiert leider nichts mehr... scheint wohl doch nur die minderheit zu interessieren..
schreibt einer von euch mal den Fidor Support dazu an? hab grad keine Lust es selbst zu tun ^^

[Xer0]

Wartungsarbeiten!

vieleicht ändert sich ja grad was

[Serpens66]

Wartungsarbeiten!

vieleicht ändert sich ja grad was

sind irgendwelche datenbank probleme... Die Community, bzw. bei Facebook (die community seite geht ja auich nicht) sind die Leute verständlicherweise ziemlich angepisst..

Also es ist immernoch so: für bitcoingeschäfte ist Fidor okay, aber man sollte es nicht als Hauptkonto verwenden.

[fronti]

Wartungsarbeiten!

vieleicht ändert sich ja grad was

sind irgendwelche datenbank probleme... Die Community, bzw. bei Facebook (die community seite geht ja auich nicht) sind die Leute verständlicherweise ziemlich angepisst..

Also es ist immernoch so: für bitcoingeschäfte ist Fidor okay, aber man sollte es nicht als Hauptkonto verwenden.

Das wird ja hoffentlich nicht die selbe Datenbank sein wie die bankkonten

[Serpens66]

es regt mich irgendwie sehr auf, dass das in der community keinen zu interessieren scheint..
hab jetzt mal eine Mail an den Support geschrieben... und den Text größtenteils auch nochmal zu meiner Geldfrage in der Community ergänzt.... mal schauen, was darauf geantwortet wird.

[david123]

Wie, gibt es noch kein offizielles Statement dazu?  (Verfolge dieses Community-Zeugs nicht so..)
Solange das nicht geklärt ist, benutze ich mein Fidor Konto sicher nicht. (Ehrlichgesagt
brauch ichs im Moment eh nicht mehr so dringend seit Kraken angefangen hat rumzuspinnen.)

Wenn nicht bald von einem von euch Entwarnung kommt dass sich der Support dann doch rührend
und subito um diese krasse Sicherheitslücke gekümmert hat, dann werde ich bald
eine Kündigung (mit Begründung) an Fidor schicken.

[Serpens66]

es gibt jetzt offizielle Antwort, aber leider noch keine wirklich hilfreiche:
https://community.fidor.de/smart_questions/26911

habe dort also nochmal geantwortet und vllt wird ja noch auf meine Kritikpunkte eingegangen, welche bisher ignoriert wurden...