Die Fidor Bank hat eine Schwachstelle im Onlinebanking beseitigt, die angemeldeten Privat-und Geschäftskunden mittels einfacher URL-Manipulationen den Zugriff auf Überweisungsdaten anderer Kunden ermöglicht hat. Zuvor hatte der IT-Informationsdienst Heise Security die Bank auf dieses Problem aufmerksam gemacht.

Ein Leser von "Heise Security" gab an, dass er aus der Druckansicht einer bankinternen Buchung (Fidor-Kunde zu Fidor-Kunde) heraus zu Überweisungen wechseln konnte, die andere Kunden der Onlinebank getätigt hatten, berichtet "Heise online". Es wurden jeweils der Empfängername, Kontodaten (IBAN/BIC), Überweisungsbetrag, Verwendungszweck, Überweisungsdatum und Uhrzeit angzeigt. Nicht sichtbar waren hingegen der Name und die Kontodaten des überweisenden Fidor-Kunden. Stattdessen wurden dem Leser im Kontext des fremden Überweisungsbelegs immer die eigenen Daten als "Platzhalter" angezeigt. Entdeckt hat der aufmerksame Leser die Schwachstelle durch simples Herumprobieren in der Druckansicht, nachdem er eine Zahlung eines anderen Fidor-Kunden erhalten hatte. "Heise Security" leitete die entsprechenden Informationen am 9. April an die Fidor Bank weiter.

Mittlerweile hat das Institut das Datenleck laut eigenen Angaben wieder behoben. Es handelte sich um "eine vorübergehende Störung im Zusammenhang mit Wartungsarbeiten", so die Direktbank. Man habe keinerlei Beschwerden von Kunden erhalten, und alle Dienstleistungen würden wieder normal laufen. (mb)