Hacker-Kollektiv: Sicherheitslücke in Schufa-App Bonify

    Hacker-Kollektiv "Zerforschung":Sicherheitslücke in Schufa-App Bonify

    |

    Der Schufa-Basisscore kann seit kurzem digital abgerufen werden. Nun berichtet eine Hacker-Aktivistin von einer Sicherheitslücke, die Schufa-Tochtergesellschaft beschwichtigt.

    Bonify-App
    In der Bonify-App können sich Nutzer kostenlos ihre Schufa-Auskunft anzeigen lassen.
    Quelle: dpa

    In der von der Schufa vorgestellten Bonify-App zur Einsicht in die eigene Kreditwürdigkeit hat eine gravierende Sicherheitslücke geklafft. Über die App der Schufa-Tochtergesellschaft Bonify konnten unberechtigt Mietbonitätsbescheinigungen abgerufen werden.
    Das geht aus Veröffentlichungen der Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv "Zerforschung" auf Twitter und Mastodon hervor. Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen.

    Schwachstelle bei Identitätsüberprüfung

    Wittmann hatte eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. "Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren", schrieb Wittmann auf Mastodon.
    Auf diesem Weg ließ sich die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn ausstellen. Der Boniversum-Score entspricht der Mietbonitätsbescheinigung. Es handelt sich hier nicht um den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.

    Die Wirtschaftsauskunftei Schufa hat Daten von rund 68 Million Menschen gespeichert. Das passiert oft unbemerkt. Denn bei vielen Verträgen mit einer Bank, einem Mobilfunkanbieter oder einem Energieversorger, muss zusätzlich auch die Schufa-Klausel unterschrieben werden.

    Damit erhält die Schufa die Erlaubnis, Auskünfte an das Unternehmen weiterzuleiten. Sie erfährt so, wie es um Ihre Zahlungsmoral bestellt ist, ob Sie Kredite pünktlich abbezahlt haben und wie gut Sie Rechnungen begleichen. Ein Algorithmus ermittelt daraus eine Zahl, den Schufa-Score.   

    Schufa: Abfrage des Schufa-Scores nicht möglich

    Bei der Schufa hieß es auf Anfrage, nach dem jetzigen Kenntnisstand habe die Expertin "im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen." Eine Abfrage des Schufa-Scores sei damit nicht möglich gewesen.

    Schufa-Daten sind zu keiner Zeit von dem Vorfall betroffen gewesen.

    Stellungnahme Schufa

    Bonify-Mitbegründer Andreas Bermig erklärte, zu keiner Zeit seien persönliche oder finanzielle Daten von Spahn oder anderen Personen gehackt oder übermittelt worden. "Der von Lilith Wittmann veröffentlichte Score basierte einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn."
    Claudia Krafczyk und Carsten Rüger im Gespräch.
    Claudia Krafczyk erklärt, wie die Schufa-Auskunft per Bonify-App funktioniert.18.07.2023 | 6:24 min

    Kritik an Wittmann wegen Veröffentlichung sensibler Daten

    Kritik im Netz erntete Wittmann für ihre Entscheidung, ihre Mitteilung über den Bonify-Hack mit Screenshots des Boniversum-Scores von Spahn zu illustrieren, auf denen auch das Geburtsdatum und die Adresse des ehemaligen Bundesgesundheitsministers zu sehen ist.
    "Privacy ist nicht so dein Ding, hm?", schrieb ein Twitter-Anwender. Wittmann rechtfertigte sich, die Daten seien seit der Diskussion um den umstrittenen Kauf einer Villa durch Spahn ohnehin bekannt.
    Quelle: dpa

    Mehr zur Schufa