Fast eine Million vom Geldautomat - Programmierer nutzt Sicherheitslücke aus

Ein bei einer Bank angestellter Programmierer hat eine Sicherheitslücke im Geldautomaten-System seines Arbeitgebers ausgenutzt und dabei eine Million US-Dollar erbeutet.

von Sara Petzold,
06.02.2019 20:04 Uhr

Ein chinesischer Programmierer erbeutete durch Ausnutzen einer Sicherheitslücke an Bankautomaten fast eine Million Euro.Ein chinesischer Programmierer erbeutete durch Ausnutzen einer Sicherheitslücke an Bankautomaten fast eine Million Euro.

Ein chinesischer Programmierer erbeutete insgesamt fast eine Million Euro und benötigte dafür 1.358 Abhebungen bei Geldautomaten einer Bank, bei der er selbst angestellt war und sich einen Fehler im System der Geldautomaten zunutze machte.

Qin Qisheng, der 43-jährige Programmierer bei der Huaxia Bank, nutzte Berichten der South China Morning Post und TheVerge zufolge ein Schlupfloch aus, das ihm das Abheben von Geld erlaubte, ohne das dieses im System vermerkt wurde. Dadurch konnte Quin stets um Mitternacht immer wieder Geldsummen am Automaten der Bank abheben, ohne dass diese vom Konto des Nutzers abgebucht worden wären.

Lediglich die Sicherheit testen wollen

Der Programmierer hatte den Fehler offenbar im November 2016 entdeckt und wenige Monate später ein Script in das Banksystem eingeschleust, über das er Geldsummen abheben konnte, ohne einen internen Alarm auszulösen. Für die Abhebungen verwendete er ein Testkonto der Bank und nahm zwischen November 2016 und Januar 2018 ganze 1.358 Abbuchungen vor, bis die Bank schließlich das von ihm installierte Skript entdeckte. Zu diesem Zeitpunkt hatte Quin bereits sieben Millionen Yuan (etwa 911.000 Euro) abgehoben.

Nachdem er aufgeflogen war, behauptete Quin der Bank gegenüber, er habe lediglich die Sicherheit des Automaten-Systems testen wollen. Die Bank akzeptierte diese Aussage offenbar und versuchte, die Polizei zum Einstellen der Ermittlungen zu bewegen, sofern Quin das Geld zurückgeben würde – anscheinend war die Bank mehr über das mögliche PR-Desaster bei Bekanntwerden der Geschichte besorgt als an einer Bestrafung des Programmierers interessiert.

Trotzdem nahm die Geschichte für Quin kein gutes Ende: Die chinesische Justiz glaubte Quin (und der Bank) nicht, weil er das Geld auf sein eigenes Konto eingezahlt und zum Teil in Aktien investiert hatte. Das Gericht verurteilte ihn deshalb wegen Diebstahls zu einer Haftstrafe von zehneinhalb Jahren - seine Berufung blieb erfolglos.


Kommentare(90)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen