Über eine Sicherheitslücke im E-Banking der PostFinance konnten 350’000 Kundendaten heruntergeladen werden. Die Lücke wurde im Rahmen einer «Responsible Disclosure» gemeldet und behoben. Sämtliche heruntergeladenen Daten dieses Proof of Concept wurden gelöscht.
Bei PostFinance war es bis vor kurzem möglich, über den E-Banking-Zugang die Eigentümerschaft eines Kontos (Vor- und Nachname, Wohnort, Kontowährung) abzufragen. Dazu musste die angreifende Person zuerst sämtliche Kontonummern berechnen. Mittels eines gesteuerten Browsers konnten dann automatisierte Abfragen durchgeführt werden.
Möglich war das Abschnorcheln der Daten, weil diese von PostFinance zur Verfügung gestellt werden. Dem hat die Kundschaft in Ziffer 15 der AGB zugestimmt:
«Zur Ausführung von Transaktionen […]. Damit PostFinance solche Transaktionen bzw. Dienstleistungen erbringen kann, autorisiert und beauftragt der Kunde PostFinance, die für das Geschäft erforderlichen Daten […] offenzulegen. Dies gilt insbesondere auch bei der Durchführung von Transaktionen für die Ergänzung von Empfängerkoordinaten im E-Finance.»
Ein brisanter Artikel von Adrienne Fichter in der Republik mit dem Titel «Die nicht ganz normale Bank» beschreibt die Sicherheitslücke und ordnet die Handhabung des Bankgeheimnisses bei der PostFinance ein.
Der vollständige Bericht ist hier zu finden: «PostFinance – Yellowpages»