Sicherheitslücke bei Schufa-Tochter
Welche Daten sind von dem Datenleck betroffen?

In der Bonify-App der Schufa gab es eine gravierende Sicherheitslücke. | Foto: Peter Kneffel/dpa
  • In der Bonify-App der Schufa gab es eine gravierende Sicherheitslücke.
  • Foto: Peter Kneffel/dpa
  • hochgeladen von Victor Schlampp

Sicherheitslücke bei Schufa-Tochter Bonify Finanzen
Berlin (dpa) - In der von der Schufa vorgestellten Bonify-App zur Einsicht in die eigene Kreditwürdigkeit hat eine gravierende Sicherheitslücke geklafft.

Über die App der Schufa-Tochtergesellschaft Bonify konnten unberechtigt Mietbonitätsbescheinigungen abgerufen werden. Das geht aus Veröffentlichungen der Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv «Zerforschung» auf Twitter und Mastodon hervor. Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen. Über den Vorfall hatte zuerst die «Süddeutsche Zeitung» berichtet.

Wittmann hatte eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. «Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren», schreibt Wittmann auf Mastodon. Auf diesem Weg ließ sich die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn ausstellen.

Der Boniversum-Score entspricht der Mietbonitätsbescheinigung. Es handelt sich hier nicht um den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.

«Schufa-Daten zu keiner Zeit betroffen»

Bei der Schufa heißt es auf Anfrage, nach dem jetzigen Kenntnisstand habe die Expertin «im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen.» Eine Abfrage des Schufa-Scores sei damit nicht möglich gewesen. «Schufa-Daten sind zu keiner Zeit von dem Vorfall betroffen gewesen.»

Bonify-Mitbegründer Andreas Bermig erklärt, zu keiner Zeit seien persönliche oder finanzielle Daten von Spahn oder anderen Personen gehackt oder übermittelt worden. «Der von Lilith Wittmann veröffentlichte Score basierte einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn.»

Die umfassende Schufa-Bewertung ist für Verbraucherinnen und Verbraucher wichtig. Banken, Versandhändler, Mobilfunkunternehmen oder Energieversorger erkundigen sich bei privaten Auskunfteien wie der Schufa nach der Kreditwürdigkeit ihrer Kundschaft.

Kritik im Netz erntet Wittmann für ihre Entscheidung, ihre Mitteilung über den Bonify-Hack mit Screenshots des Boniversum-Scores von Spahn zu illustrieren, auf denen auch das Geburtsdatum und die Adresse des ehemaligen Bundesgesundheitsministers zu sehen ist.

«Privacy ist nicht so dein Ding, hm?», schreibt ein Twitter-Anwender (Privacy = Datenschutz). Wittmann rechtfertigt sich, die Daten seien seit der Diskussion um den umstrittenen Kauf einer Villa durch Spahn ohnehin bekannt.

Autor:

Victor Schlampp aus Schwabach

Webseite von Victor Schlampp
Victor Schlampp auf Facebook
Victor Schlampp auf Instagram
Victor Schlampp auf X (vormals Twitter)
following

Sie möchten diesem Profil folgen?

Verpassen Sie nicht die neuesten Inhalte von diesem Profil: Melden Sie sich an, um neuen Inhalten von Profilen und Orten in Ihrem persönlichen Feed zu folgen.

13 folgen diesem Profil

Kommentare

online discussion

Sie möchten kommentieren?

Sie möchten zur Diskussion beitragen? Melden Sie sich an, um Kommentare zu verfassen.

add_content

Sie möchten selbst beitragen?

Melden Sie sich jetzt kostenlos an, um selbst mit eigenen Inhalten beizutragen.