Transparenzdefensive
Sicherheitslücke bei Bonify
Der zweite Akt der Schufa-„Transparenzoffensive“ ist zum Rohrkrepierer geworden: Nachdem eine Aktivistin Sicherheitsmängel nachgewiesen hatte, musste die Schufa-Tochter Forteil ihren Dienst Bonify vorübergehend offline nehmen.
Die Schufa-Bonitätsauskunft beim hauseigenen Dienst Bonify (c’t 18/2023, S. 33) hat einen schlechten Start erwischt: Kurz nach der Freischaltung meldete zunächst der Sicherheitsforscher Mike Kuketz einen Datenschutzverstoß. Ihm folgte die Aktivistin Lilith Wittmann, die eine Sicherheitslücke nachwies. Die war offenbar so gravierend, dass das hinter Bonify stehende Unternehmen Forteil seinen Dienst abschaltete.
Zunächst hatte Mike Kuketz in der Android-App umfangreiche Datenflüsse in die USA nachgewiesen. Zwar sind diese formal durch den Privacy Shield 2.0 gedeckt. Allerdings schickte die App in der Version 2.0.11 laut Kuketz schon unmittelbar nach dem Start und ohne Einwilligung des Nutzers Daten. Darunter waren Geräteinformationen, App-Versionsnummer sowie die Google-Advertising-ID, die an Dienste wie Google Firebase Crashlytics und Facebook gingen.