Ein Fehler im Online-Banking der Berliner Volksbank ermöglichte Unbefugten Anfang der Woche den Blick in Bankkonten – die Anwendung beendete unter bestimmten Bedingungen die Session beim Schließen des Browser-Fensters oder -Tabs nicht.
Der erneute Klick auf den Anmelde-Link öffnete das gerade geschlossene Fenster dann ohne vorherige Passwort-Abfrage. Dadurch konnten Fremde Einblick in Kontobewegungen und -stände bekommen. Die Lücke ließ sich allerdings nur auf frei zugänglichen Rechnern, etwa in Internet-Cafes, ausnutzen, auf denen sich eine Person zuvor an ihr Konto angemeldet hatte. Da bei der Berliner Volksbank alle Transaktionen durch Eingabe einer TAN zu bestätigen sind, konnte diese Lücke alleine keine finanziellen Schäden bei Kunden verursachen. Die Bank behob den Fehler innerhalb von drei Tagen.
Das Online-Banking der Dresdner Bank ist von einem ähnlichen Bug befallen. Das Institut sieht sich jedoch nicht in der Lage, ihn noch in diesem Jahr zu beseitigen, da in Kürze ein Relaunch des Portals bevorstehe, der sämtliche Ressourcen binde. Außerdem handele es sich um ein theoretisches Sicherheitsproblem, das in der Praxis noch keine Rolle gespielt habe.
Grundsätzlich sollte man Online-Banking nicht auf Rechnern betreiben, zu denen andere Personen unkontrolliert Zugang haben. Statt das Browser-Fenster oder den Tab zu schließen, sollte man sich zudem immer ausdrücklich beim Online-Banking abmelden.
Quelle und Links :
http://www.heise.de/security/news/meldung/66660
