Seorang pakar IT berhasil melihat data pelanggan di N26 dan memanipulasi transfer. Startup ini menekankan bahwa tidak ada kerugian yang ditimbulkan akibat hal ini.
Mencari celahnya: Adegan dari pertemuan CCC 2015 di Hamburg
Fintech Berlin N26 akhirnya menerima lisensi perbankan dan pendanaan Seri B senilai $40 juta tahun ini.
Jika tidak, tahun 2016 merupakan tahun yang cukup membawa bencana bagi bisnis perbankan: ditemukannya celah keamanan pada kartu kredit N26 yang diikuti dengan pembatalan rekening massal oleh bank (dan protes besar-besaran dari nasabah), kepergian bos teknologi Christian Rebernik, dan akhirnya sangat sulit untuk memotong kabel dari mitra perbankan sebelumnya Wirecard dan inilah alasannya badai sialan lainnya.
Dan tahun ini belum berakhir. N26 tampaknya berada dalam skandal yang sangat serius. Pakar keamanan TI Vincent Haupert dari Universitas Erlangen-Nuremberg akan memberikan ceramah pada akhir bulan di kongres peretas tahunan Chaos Computer Club (CCC), yang ia sendiri sebut “Diam dan Ambil Uang Saya! – “Pil Merah Keamanan N26”. Dia akan menunjukkan: Ada kesenjangan keamanan yang sangat besar dalam infrastruktur teknis startup perbankan.
Akses ke data pelanggan, transaksi dapat dimanipulasi
Haupert berhasil memanipulasi transfer menggunakan aplikasi N26, mengambil alih seluruh akun dan menggunakannya untuk melakukan segala jenis transaksi – “terlepas dari perangkat yang digunakan”. Dia memiliki akses ke data pelanggan dan dapat memanipulasi transaksi secara real time. Ini adalah “celah keamanan yang serius,” Haupert merangkumnya dalam sebuah pernyataan singkat Pengumuman ceramahnya.
Pakar hanya ingin mengungkapkan rincian teknis tentang peretasan tersebut selama presentasinya. Namun dia memberi tahu startup tentang penemuannya pada akhir September. Seorang juru bicara mengonfirmasi kepada Gründerszene bahwa Haupert “membuat perusahaan mengetahui kemungkinan titik serangan di N26”.
Pembaruan, 14 Desember, 15:15: Di dalam sebuah postingan blog N26 menerbitkan rincian teknis tentang peretasan yang berhasil untuk pertama kalinya. Jadi Vincent Haupert memperoleh akses melalui antarmuka pemrograman publik (API). Untuk meningkatkan keamanannya, N26 kini, antara lain, secara signifikan mengurangi informasi yang tersedia melalui API dan menambahkan lapisan keamanan tambahan di sana; Batasan waktu dan penundaan dimaksudkan untuk mencegah akses otomatis oleh bot. N26 juga ingin menetapkan standar keamanan baru untuk pertukaran data.
Pembaruan, 14 Desember, 10:45: Dalam pernyataan barunya, N26 menekankan bahwa celah keamanan yang ditemukan oleh Haupert kini telah ditutup. Kami “berterima kasih kepada pakar keamanan TI yang membuat kami menyadari potensi titik serangan ini.” Sebagai permulaan, “keamanan adalah prioritas utama.” Haupert juga menulis di situsnya: “Sejauh yang saya tahu, semua celah keamanan yang kami laporkan telah ditutup.”
Versi pertama artikel tersebut muncul pada 13 Desember pukul 15:52.
Apakah startup telah menambal celah keamanan sejak saat itu? Juru bicaranya mengatakan: “Kami telah menyelidiki skenario ini. Kami telah mengeksekusi beberapa juta transaksi dan hingga saat ini kami tidak mengetahui adanya kasus kerusakan, bahkan karena eksekusi yang dilakukan oleh mahasiswa doktoral keamanan TI Vincent Haupert.”
Sebab, menurut N26, sejauh ini tidak ada pengguna yang dirugikan oleh celah keamanan yang ditemukan, sehingga tidak perlu memberi tahu publik tentang hal tersebut. “Pelanggan kami tidak perlu khawatir,” tegas juru bicara tersebut.
N26 ingin membuat program bug bounty
Namun demikian, startup ini mengakui bahwa mereka perlu berbuat lebih banyak untuk keamanan TI mereka. Oleh karena itu N26 ingin memperkenalkan apa yang disebut program bug bounty dalam beberapa minggu ke depan. Hadiah ditawarkan untuk menemukan kerentanan dalam kode. Perangkat lunak kelas berat seperti Facebook, Microsoft dan Google menjalankan program serupa.
Fakta bahwa ia menemukan celah keamanan yang serius di fintech yang masih baru – dan bukan di bank tradisional – tidak mengejutkan ilmuwan komputer Haupert. Para penyerang baru di industri keuangan bergantung sepenuhnya pada perangkat seluler untuk membedakan diri mereka dari kegunaan perbankan online kuno dengan aplikasi-aplikasi penuh gaya. Masalah keamanan tampaknya mulai kehilangan fokus. “Dalam bisnis yang awalnya didedikasikan untuk keamanan, fintech menjadikan desain modern dan pengalaman pengguna sebagai prioritas eksklusif mereka,” tulis Haupert. “Meskipun strategi ini menghasilkan peningkatan tajam dalam jumlah pelanggan, hal ini juga mengungkapkan pemahaman keamanan yang salah secara konseptual dan teknis.”
Haupert sudah mengurus pertemuan CCC tahun lalu. karena dia bisa menunjukkannyaBagaimana aplikasi perbankan online Sparkasse dapat diretas dan bagaimana transfer dapat dimanipulasi. Prasyaratnya adalah aplikasi bank dan TAN diinstal pada perangkat seluler yang sama.