Schufa-App: Sicherheitsleck in Bonify gibt kurzzeitig beliebige Daten preis
Hackerin Lilith Wittmann will aus der Schufa-App Bonify KreditwĂĽrdigkeits-Infos zu Ex-Minister Spahn erhalten haben. Der Betreiber dementiert eine echte LĂĽcke.
Die Bonitäts-Auskunftei Schufa hat kürzlich die App Bonify einer Tochterfirma in einer aktualisierten Fassung freigegeben, mit der Verbraucher selbst – nach Registrierung – ihre Kreditwürdigkeits-Einstufung laut Schufa kostenlos einsehen können; auch eine (kostenpflichtige) Mieterauskunft ist möglich. Mit dem neuen Service wolle die Schufa die Transparenz erhöhen und den Menschen mehr Kontrolle über ihre Daten geben, sagte das Unternehmen zur Veröffentlichung. Doch damit hat es nicht so geklappt wie gedacht: Eine Sicherheitslücke in der App erlaubte es offenbar für einen sehr kurzen Zeitraum, beliebige Daten aus dem Dienst abzurufen. Das beschreibt und demonstriert die Hackerin und Aktivistin Lilith Wittmann auf ihrem Mastodon-Konto.
Schnittstelle eine Sekunde lang offen fĂĽr Anfragen
Dort schildert sie, dass man über die von ihr entdeckte Lücke in dem App-API eine Kreditwürdigkeits-Auskunft für jede beliebige Person erhalten könne. Dies sei unmittelbar nach Abschluss der Verifikation über das Bankident-Verfahren möglich – jedoch nur eine Sekunde lang. In diesem Zeitraum könne man Daten über das API aktualisieren, schreibt Wittmann. Zur Illustration besorgte sie sich eine Mieterauskunft über den CDU-Politiker und früheren Bundesgesundheitsminister Jens Spahn und veröffentlichte die Screenshots ebenfalls auf Mastodon.
Um sich bei der Bonify-App anzumelden, gibt es zwei Wege: einmal über das Ident-Verfahren des Anbieters IDNow (mit Personalausweis) sowie über eine Registrierung per Bankkonto (inklusive Einblick durch Bonify für 90 Tage). Ob die von Wittmann beschriebene Lücke auf das Identverfahren beschränkt ist, bleibt offen. Wegen der einschränkenden Bedingung (Abschluss der Verifikation) und des kurzen Zeitraums von einer Sekunde ist es unwahrscheinlich, dass über die Lücke massenhaft Daten abgegriffen werden; ausgeschlossen ist es aber nicht. Wittmann schreibt außerdem, dass sie die Schufa vorerst noch nicht auf das Problem hingewiesen habe.
Derzeit ist der Bonify-Dienst nicht verfĂĽgbar, die Website meldet beim Versuch, sich anzumelden, laufende Wartungsarbeiten.
Auf Anfrage teilt die Schufa zu dem Vorfall mit, Wittmann habe nach jetzigem Kenntnisstand im Rahmen des Kontoident-Verfahrens zwischen Bonify und der beteiligten Creditreform Boniversum eine Lücke entdeckt. Über diese sei es möglich gewesen, eine eigene Adresse gegen eine fremde auszutauschen. Daten der Schufa seien von dem Vorfall nicht betroffen, weil die unrechtmäßige Adressverwendung nicht zur Schufa-Scoreabfrage (der Wert für Kreditwürdigkeit) benutzt werden konnte – Sicherheitsstandards der Schufa hätten dies verhindert.
Außerdem erklärte die Schufa, derzeit daran zu arbeiten, die eigenen Sicherheits- und Qualitätsstandard auf das Tochterunternehmen Bonify zu übertragen. Diesbezügliche Sicherheitsanalysen sollen bis zum Herbst dieses Jahres abgeschlossen sein.
Die Firma Forteil, Betreiber der App Bonify, sagt dazu, sie habe am Samstagabend von dem Vorfall Kenntnis erhalten und das Vorgehen Wittmanns nachgestellt. Dabei habe sich herausgestellt, dass es tatsächlich im Rahmen des Kontoident-Verfahrens (der Verifizierung per Bankkonto) eine Möglichkeit gegeben habe, während der Anmeldeprozedur Namen und Adresse zu manipulieren. In diesem Fall habe Boniversum auf Basis der manipulierten Daten einen Score ausgeliefert, es seien aber keine Daten der Schufa an Bonify übermittelt worden. Daher weise die Mietauskunft stets die Mietzahlungen des Kontos aus, das Wittmann bei ihrer Identifizierung verwendet habe – und nicht die Mietzahlungen der verwendeten, geänderten Identität. Das Unternehmen betont, dass keine persönlichen und finanziellen Daten von Herrn Spahn oder anderen Personen übermittelt worden seien. Der von Lilith Wittmann veröffentlichte Score beruhe auf den von ihr eingegebenen Daten von Herrn Spahn.
Das Unternehmen habe diese Möglichkeit der Manipulation am Samstag gegen 22 Uhr unterbunden. Derzeit überarbeite man den Datenaustausch zwischen den beteiligten Stellen. Bis auf weiteres sei der Boniversum-Score nicht mehr bei Bonify abrufbar.
(tiw)