Sicherheitslücke bei Bonify

Die Schufa-Bonitätsauskunft beim hauseigenen Dienst Bonify (c’t 18/2023, S. 33) hat einen schlechten Start erwischt: Kurz nach der Freischaltung meldete zunächst der Sicherheitsforscher Mike Kuketz einen Datenschutzverstoß. Ihm folgte die Aktivistin Lilith Wittmann, die eine Sicherheitslücke nachwies. Die war offenbar so gravierend, dass das hinter Bonify stehende Unternehmen Forteil seinen Dienst abschaltete.

Zunächst hatte Mike Kuketz in der Android-App umfangreiche Datenflüsse in die USA nachgewiesen. Zwar sind diese formal durch den Privacy Shield 2.0 gedeckt. Allerdings schickte die App in der Version 2.0.11 laut Kuketz schon unmittelbar nach dem Start und ohne Einwilligung des Nutzers Daten. Darunter waren Geräteinformationen, App-Versionsnummer sowie die Google-Advertising-ID, die an Dienste wie Google Firebase Crashlytics und Facebook gingen.

Die Zustimmung des Nutzers schreibt § 25 Abs. 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) jedoch vor. In der Datenschutzerklärung der App nennt Bonify zudem insgesamt 19 Unternehmen, die nach der Einwilligung Tracking betreiben können. Forteil erklärte gegenüber Kuketz, die Fehler ausräumen zu wollen.

Wenig später berichtete Lilith Wittmann auf X (vormals Twitter) und ihrem Blog von einer Sicherheitslücke. Sie betraf das bereits von Verbraucherschützern kritisierte Identifikationsverfahren über das Onlinebanking. Damit gleicht Forteil nicht nur die Identitätsdaten des Nutzers ab, sondern ruft auch noch die Girokontoumsätze der letzten 90 Tage ab. Dafür nutzt Forteil den Service des zugelassenen Drittdienstleisters Finleap Connect.

Auf diesen Umsatzdaten beruht das eigentliche Geschäftsmodell von Forteil: Bonify analysiert die Kontobewegungen, holt sich zusätzlich den Bonitätsscore der Auskunftei Creditreform-Boniversum und errechnet daraus einen eigenen, nach unserer Erfahrung jedoch oft nicht nachvollziehbaren Punktwert. Anschließend unterbreitet die App dem Nutzer auf Basis der Daten Angebote für Kredite oder zum Beispiel günstigere Versicherungsverträge.

Wittmann gelang es, die Schnittstelle für die Identifikation zu manipulieren. Zunächst gab sie sich bei der Registrierung gleichzeitig als sie selbst und den ehemaligen Gesundheitsminister Jens Spahn aus („Lilith Jens Spahn Wittmann“). Dabei genügte es, dass Wittmanns Namensdaten enthalten waren, damit Finleap Connect und Bonify die Identifikation bei Wittmanns Bank als erfolgreich einstuften.

Wittmann konnte den gerade in der Prüfung befindlichen Namen jedoch ersetzen. Für etwa eine Sekunde war es möglich, dem zugehörigen Microdienst innerhalb des Bonify-Backends einen neuen Datensatz zu übermitteln – Wittmann nutzte dazu den Namen von Jens Spahn samt dessen (im Internet zugänglichen) Adressdaten. Damit galt dieser nun für Bonify als validiert und Wittmann erhielt anschließend auf Spahns Namen einen Boniversum-Score sowie eine 20 Euro teure Mieterauskunft.

Einen Schufa-Basisscore bekam Wittmann allerdings nicht. Laut der Auskunftei sei bereits die Validierung des Namens fehlgeschlagen, was Wittmann später als „nicht nachprüfbar“, jedoch „plausibel so umsetzbar“ bezeichnete. Forteil erklärte zudem in einer Stellungnahme gegenüber heise online, es seien keine persönlichen oder finanziellen Daten von Spahn oder anderen Personen übermittelt worden. Allerdings habe Boniversum auf Basis der manipulierten Daten einen Score ausgeliefert. Ob dieser Score und die Informationen über etwaige Negativeinträge tatsächlich denen Spahns entsprachen, ließ sich nicht rekonstruieren – Adresse und Geschlecht könnten aber als valide Werte eingeflossen sein. Die Höhe von Spahns Miete in der Mieterauskunft hingegen ordnete auch Wittmann jenem Konto zu, das sie bei ihrer Prüfung verwendet hatte.

Nachdem Wittmann ihre Erkenntnisse veröffentlicht hatte, schloss Forteil zunächst die Lücke und schaltete seinen Dienst 20 Stunden später komplett ab. Das Unternehmen informierte zudem die zuständige Berliner Landesdatenschutzbehörde sowie die Finanzdienstleistungsaufsicht BaFin über den Vorfall. Sowohl die Schufa als auch Creditreform-Boniversum haben ihre Bonify-Services vorerst eingestellt. Die Schufa ließ wissen, dass sie die eigenen Sicherheits- und Qualitätsstandards auf Bonify übertragen und diesbezügliche Sicherheitsanalysen bis zum Herbst abschließen wolle. Forteil will den Dienst in den kommenden Wochen sukzessive wieder hochfahren. (mon@ct.de)