Sicherheitslücke in Schufa-App
Forscherin veröffentlicht Bonitäts-Score von Jens Spahn
In der App von der Schufa-Tochter „Bonify“ klafft eine Lücke. Über die hatte eine Sicherheitsforscherin Zugriff auf Daten von Ex-Minister Jens Spahn.
In der von der Schufa-Tochter vorgestellten App „Bonify“ klafft eine Sicherheitslücke. Über diese hatte eine Sicherheitsforscherin Zugriff auf den Bonitäts-Score von Ex-Minister Jens Spahn (CDU).
Die App „Bonify“ sollte Konsumenten Einblick in ihre Kreditwürdigkeit geben. Natürlich nur in die eigene. Doch durch eine Sicherheitslücke war es Hackern möglich, auch fremde Daten einzusehen - zum Beispiel Mietbonitätsbescheinigungen.
Lesen Sie auch: Schufa kommt Urteil zuvor: Speicherdauer für Privatinsolvenz deutlich verkürzt >>
Über den Vorfall berichtet die Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv „Zerforschung“ auf Twitter. Über den Vorfall hatte zuerst die „Süddeutsche Zeitung“ berichtet. Seit Montagnachmittag ist der Schufa-Service über die App nicht mehr zu erreichen.
#bonify — das Schufa-Startup, dass jedem sagt, ob Du kreditwürdig bist.
— Lilith Wittmann (@LilithWittmann) July 24, 2023
Habe für euch noch mal die ganzen technischen Details zum Thema aufgeschrieben.https://t.co/LuvkNMAe7Z
Wittmann hatte nach eigenen Angaben eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. Im Bankident-Verfahren lassen sich die Daten aktualisieren. So lässt sich der Bonitäts-Score von fremden Personen ausspähen, in diesem Fall der von Ex-Minister Jens Spahn.
Der „Boniversum-Score“ entspricht dem der Mietbonitätsbescheinigung. Es ist aber kein umfassender Kresit-Score der Schufa, der zum Beispiel auch Handy-Verträgen, Kredite, Kreditkarten-Daten und Bankkonten erfasst.
Die Schufa bestätigte auf Anfrage, dass die Sicherheitsexpertin „im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen.“ Eine Abfrage des Schufa-Scores sei damit jedoch nicht möglich gewesen. Schufa-Daten seien von dem Hack nicht betroffen gewesen.
Kritik im Netz nach Veröffentlichung der Daten von Jens Spahn
Die umfassende Schufa-Bewertung ist ebenso wichtig wie intransparent. Die Schufa ist eine privatwirtschaftliche Firma, die geheim hält, wie sie ihre Scoring-Werte bildet. Viele Anbieter, Dienstleister, aber auch Banken und Vermieter, erkundigen sich bei privaten Auskunfteien wie der Schufa nach der Kreditwürdigkeit ihrer Kunden.
Kritik gab es am Montag im Netz, weil Wittmann Screenshots mit dem „Boniversum-Score“ von Jens Spahn veröffentlicht hat. Auf ihnen ist auch das Geburtsdatum und die Adresse des ehemaligen Bundesgesundheitsministers zu sehen. „Privacy ist nicht so dein Ding, hm?“, schrieb ein Twitter-Anwender („Privacy“ bedeutet Datenschutz, Privatspäre). Wittmann rechtfertigte sich darauf, dass die Daten seit der Diskussion um einen umstrittenen Kauf einer Villa durch Jens Spahn ohnehin schon bekannt seien.
Lesen Sie auch: Das System Schufa wackelt! EuGH sieht beim Scoring Verstöße gegen das EU-Recht >>