Freitag, 30. Mai 2008

Online Banking bei HSBC - leicht gemacht

Vom Computer sein Konto zu führen, ist schwer hip.
Manchmal aber sieht es mit der Sicherheit nicht gut aus (siehe Michael's Kommentar hier).

Ein anderes Beispiel - eigentlich viel schlimmer, als dass einem Geld vom Konto geklaut wird- ist dieses hier:

https://conexion.bital.com.mx/cgi-bin/conper/cliente/cgi-bin/cgimov1?fechai=01%2F05%2F2008&fechaf=30%2F05%2F2008&lstCargo=xxx&lstSubprod=69&CadECM=seguridad_absoluta

Was ist das? bli erklärt es hier, aber ich drösel' das noch mal auf:

Es handelt sich um eine URL, die angeblich sicher ist (beginnt mit https). Wenn man die Konto-Nummer eines HSBC-Kunden weiß, der Internet-Banking betreibt, kann man mit diesem Link ganz einfach herausfinden, was er so in den letzten zwei Monaten alles verschoben hat auf seinem Konto und wieviel er hat (das ist besonders praktisch, wenn man einem Kunden nicht traut und vorher schon mal sehen will, ob er überhaupt zahlen kann).

Wie?
Na so:
  • man kopiere obige URL und füge sie in das Link-Fenster des Browsers seiner Wahl ein (completito und inklusive dem vielleicht (?) sarkastisch gemeinten "CadECM=seguridad_absoluta")
  • wo "?fechai=" steht, fügt man den Zeitraum der Recherche ein. Hier ist er bereits eingetragen: vom 1.5.2008 bis 30.5.2008; man kann das aber bei Bedarf ändern (Daten bei "?fechai=01%2F05%2F2008&fechaf=30%2F05%2F2008" anpassen; natürlich ohne " ").
  • wo in der URL steht "&lstCargo=xxx" fügt man bei "xxx" die Konto-Nummer ein (wieder ohne " ")

Prima Sache, so ein HSBC-Konto!
Wie gut, dass ich denen vor Jahren schon einen Tritt in den Allerwertesten gegeben und kein Konto mehr dort habe.

EDIT:
Es scheint, dass HSBC das Sicherheitsloch nach jahrelanger Existenz und trotz des Wissens darum endlich gestopft hat. Mit obengenanntem einfachen Trick kann man nicht mehr auf HSBC-Konten zugreifen; im Februar 2008 war es noch möglich gewesen.
Ob das HSBC-Online-Banking-System Verbesserungen im Sicherheitsbereich erfahren hat, ist mir nicht bekannt.

Labels: , , ,

7 Kommentare:

Anonymous Anonym schrieb...

Gerade probiert...bekomm aber als Antwort:

Por su seguridad le recordamos que no puede accesar de esta manera a la aplicación por lo que ha sido redireccionado y su IP ha sido registrada...

sollten die bei HSBC etwa ......

31. Mai 2008 um 00:25  
Blogger Jochen schrieb...

Wann hast du das ausprobiert? Ichg hatte das vor ein paar Monaten (nach dem Hinweis von Michael) in einem englischen Forum gepostet, nach ein paar Tagen war der Post gelöscht und ich bekam ganz böse mails von HSBC. Dann haben sie sich das angeguckt, sich erschrocken und das Loch eigentlich gestopft. Wäre der Hammer wenn das jetzt immer noch funktioniert hat.

31. Mai 2008 um 02:33  
Blogger rolandmex schrieb...

Wenn ich ehrlich bin, habe ich nach Michael's Kommentar den "Trick" aus der Mottenkiste ausgegraben; ausprobiert habe ich ihn schon seit Monaten nicht mehr.

Ich bin davon ausgegangen, dass, wenn das Loch schon seit Jahren existiert und es HSBC einen Dreck scherte, den Medien das zu "heiß" war, es immer noch so einfach möglich wäre, Konten auszuspionieren.
Anscheinend ist dem nicht mehr so.

Es war wohl notwendig, das Sicherheitsloch weitläufig im Internet zu verbreiten, um die Bank zum Handeln zu bewegen - oder besser: zu zwingen.

Mich würde der Wortlaut der "ganz böse[n] mails von HSBC" einmal interessieren - ich finde bemerkenswert, dass sich HSBC erdreistet, einen simplen "Weiterverbreiter" bekannter (!) Fehler zu beschimpfen - zumal sie vor Jahren (!) schon direkt (!) und mehrmals (!) darauf hingewiesen wurden und es ihnen ebenso jahrelang sch...egal war; nach dem Motto: "Wenn's keiner merkt, bloß nichts sagen, nichts ändern und weitermachen wie bisher."

2. Juni 2008 um 09:51  
Blogger Jochen schrieb...

So freundlich schrieb HSBC - den Namen hab ich mal geixt:
"My name is Damon and i am the head of Investigations for HSBC in Mexico. If this matter is true the please contact me immediately on (xx) xxxxx or xxx@hsbc.com.mx If this is a false message designed to trick or cause problems for the bank then, the bank will take legal action against the sender and LONELY planet if they continue to broadcast this thread. I see that the sender has been on this forum for several years.



If it is genuine then we would be extremly gratful for your call which we will return immediately if cost is an issue. If i do not hear anything within 24 hours i will assume that this was a fake and instruct our legal dept to request Lonely planet block your account. HSBC will then instruct the authorities to request from your internet service provider your personal details. If false this action is both slanderous and libelous."

I look forward to your reply, before we consider legal action.

Dann war er auch noch zu doof es selber hinzukriegen... der "Head of Security".
24 Stunden später war der Ton ganz anders:
Dear Jochen, Thank you very much indeed for bringing this matter to our attention. You are right it has been fixed now.

Do you have any information on how was told in 2002? Thank you for sending me the link to this other web site. If you have any more links, or any further details of how this can be done i would really appreciate knowing.



Once again thank you for bringing this to my attention and for not posting the exact method or link (like other people have done).If this was to happen again please contact me imeediately.


Thank you


Wie es dann weitergegangen ist weiß ich nicht. Ich hoffe bei HSBC hat noch einer was auf die Mütze gekriegt.
Und überhaupt: die Bank nervt mich total. Fängt schon bei den Türen an...
P.S.: Wie war ich eigentlich auf den Namen Michael gekommen. Die Lorbeeren gehen natürlich an Thomas Bliesener aus Zapopan von melix.com.mx

Toller Hack!

2. Juni 2008 um 13:33  
Blogger rolandmex schrieb...

LOL

Danke, Jochen.

Das Beste ist dieses unglückliche Englisch, das er sich da abgebrochen hat - eines Hauptschülers würdig (wobei ich nichts gegen Hauptschüler habe; einige meiner besten Freunde waren welche - aber ihr Englisch ist in etwa genauso... hm, sagen wir: ungeeignet für offizielle Korrespondenz).

Wie kommen solche Leute eigentlich zu ihren Posten?
Als Head of Investigations (von was eigentlich?) sollte man eigentlich von ein paar Voraussetzungen ausgehen können - als da z.B. wären a) technische Kenntnisse (z.B. Programmiersprachen/-anwendungen - in diesem Fall hätte ein wenig JavaScript/PHP/SQL gereicht) und b) fundierte Englisch-Kenntnisse (die aus den Programmier-Kenntnissen resultieren und/oder diese begleiten - z.B. für Aktualisierungen bzw. Dokumentation).

Beides hat der Mann nicht. Oder hat er etwa seiner Sekretärin (natürlich "100% inglés") gesagt, sie solle den Schrieb aufsetzen, während er stundenlang in der Mittagpause verbrachte und "Tequilitas" trank?

Sei's drum: habe mich köstlich amüsiert, denn die Mail ist typisch mexicanisch: erstmal prophylaktisch einzuschüchtern versuchen und mit Rechtsmitteln drohen (auch wenn man nichts in der Hand hat) und dann, wenn man merkt, dass da tatsächlich was nicht stimmt, klein beigeben...

2. Juni 2008 um 14:20  
Blogger Jochen schrieb...

Naja, immerhin hat er es innerhalb von wenigen Stunden repariert.
P.S.: Die Namen des Mannes lassen auf einen Migrationshintergrund schließen.
Aber das kennt man ja das die Expats die es nach Mexiko verschlägt manchmal nicht so ganz auf der Höhe sind.
*duck-und-wech*

2. Juni 2008 um 14:59  
Blogger USA ESTA schrieb...

Willkommen auf der Website für die Esta-Beantragung in die USA.
www.usestaapply.com

26. Oktober 2012 um 09:28  

Kommentar veröffentlichen

Links zu diesem Beitrag:

Link erstellen

<< Home