Sicherheitslücke in Schufa-App: Jens Spahns Mieterauskunft landet im Netz
In der von der Schufa vorgestellten Bonify-App zur Einsicht in die eigene Kreditwürdigkeit hat eine gravierende Sicherheitslücke geklafft. Über die App der Schufa-Tochtergesellschaft Bonify konnten unberechtigt Mietbonitätsbescheinigungen abgerufen werden. Das geht aus Veröffentlichungen der Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv „Zerforschung“ auf Twitter und Mastodon hervor. Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen. Über den Vorfall hatte zuerst die „Süddeutsche Zeitung“ berichtet.
Wittmann hatte eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. „Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren“, schrieb Wittmann auf Mastodon. Auf diesem Weg ließ sich die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn ausstellen.
Der Boniversum-Score entspricht der Mietbonitätsbescheinigung. Es handelt sich hier nicht um den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.
Ausführliche Schufa-Bewertung nicht betroffen
Bei der Schufa hieß es auf Anfrage, nach dem jetzigen Kenntnisstand habe Wittmann „im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen.“ Eine Abfrage des Schufa-Scores sei damit nicht möglich gewesen. „Schufa-Daten sind zu keiner Zeit von dem Vorfall betroffen gewesen.“
Die umfassende Schufa-Bewertung ist für viele Dienstleistungen und Kaufabwicklungen notwendig. Banken, Versandhändler, Mobilfunkunternehmen oder Energieversorger erkundigen sich bei privaten Auskunfteien wie der Schufa nach der Kreditwürdigkeit ihrer Kundschaft.
Kritik im Netz erntete Wittmann für ihre Entscheidung, ihre Mitteilung über den Bonify-Hack mit Screenshots des Boniversum-Scores von Spahn zu illustrieren, auf denen auch das Geburtsdatum und die Adresse des ehemaligen Bundesgesundheitsministers zu sehen ist. „Privacy ist nicht so dein Ding, hm?“, schrieb ein Twitter-Anwender (Privacy = Datenschutz). Wittmann rechtfertigte sich, die Daten seien seit der Diskussion um den umstrittenen Kauf einer Villa durch Spahn ohnehin bekannt. (dpa/dl)
„Der Bevölkerung einiges zumuten“: Bundeswehr kündigt Hochphase von NATO-Großmanöver an
Wie chinesische Spione deutsche Politik und Wirtschaft unterwandern
Unbewusst zugestimmt: Was Apple Ihnen über Datenschutz verschweigt
Die Tücken der grünen Revolution: Chinesische Batterien „Made in Germany“
Früherer Geheimdienstchef: Chinas E-Autos könnten den Straßenverkehr zum Stillstand bringen
Jens Spahn: Bitte keinen „Querdenkergerichtshof“
Gesund altern: Wie eine entzündungshemmende Lebensweise Demenz vorbeugt
Krieg statt Klima: EU verschiebt ihre Prioritäten
vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.
Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.
Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.
Ihre Epoch Times - Redaktion