Security des tages

„Bei den banken geht es um geld, die sind wohl etwas sorgfältiger und erschweren das abgreifen von daten“, denkt mitmensch gläubig. Nein, die sparda-bank baden-württemberg für ihre „SpardaSecureApp“ einfach eine neue domäjhn aufgemacht und mitten in der benutzung ablaufen lassen:

Bis Mitte Mai 2022 war im QR-Code eine URL mit den zur Freischaltung benötigten Daten als URL-Parameter hinterlegt. Die Domain (secure-app.de) befand sich Ende April (25.04.2022) allerdings am letzten Tag der Redemption Grace Period (RGP) und damit nicht (mehr) im Besitz einer Sparda-Bank oder deren IT-Dienstleister.

Ich konnte die Domain secure-app.de am Folgetag selbst registrieren und erhielt so von durchschnittlich über 140 Personen am Tag den zweiten Faktor einer Online-Überweisung auf dem Silbertablett serviert. Über eine gezielte Phishing-Seite hätten theoretisch auch noch die Zugangsdaten zum Online-Banking abgegriffen werden können.

Selbstverständlich kontaktierte ich die Sparda-Bank BW vor der Registrierung mehrfach. Allerdings verwies der telefonische Kundensupport nur darauf, dass der QR-Code mit der SpardaSecureApp gescannt werden muss […] Leider hat der Pressesprecher der Sparda-Bank BW auf meine mehrmaligen Anfragen bisher nicht reagiert

Ditschitäll first, bedauern second… und wenns dann mal so richtig schiefläuft, hochdruck third.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..