Sicherheitslücke in Bonify-App Hackerin veröffentlicht Mieterauskunft von Jens Spahn
Eigentlich wollte die Schufa mit ihrer Bonify-App für mehr Transparenz sorgen. Doch eine Sicherheitslücke erlaubte eine missbräuchliche Verwendung.
Die Schufa steht immer wieder in Kritik – als privates Unternehmen, dessen intransparente Berechnung der Kreditwürdigkeit von Bürgern darüber entscheiden kann, ob man eine Wohnung oder einen Handyvertrag bekommt.
Mit der Bonify-App der Schufa soll jeder kostenlos seine Bonität einsehen können. Doch der Dienst sorgt nun für Ärger.
Sicherheitsexpertin veröffentlicht Mieterauskunft von Jens Spahn
So zeigt die IT-Sicherheitsexpertin Lilith Wittmann, wie einfach es ist, über Bonify nicht nur seine eigene Mieterauskunft erstellen zu lassen, sondern sich auch eine entsprechende Auskunft im Namen beliebiger anderer Personen abzurufen. In den sozialen Netzwerken teilte sie einen Screenshot mit Informationen des Ex-Gesundheitsministers und CDU-Politikers Jens Spahn.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Möglich war Wittmann der Einblick in diese Daten über eine Sicherheitslücke der App.
Auf Twitter und Mastodon schreibt sie: "Nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren." So konnte die Sicherheitsexpertin eine entsprechende Auskunft im Namen Spahns erstellen.
Schufa nimmt Bonify-App offline
Zudem erklärt Wittmann: "Die Daten von Herrn Spahn (außer sein Score) sind Dank der Villenaffäre natürlich öffentlich bekannt. Der Boniversum-Score setzt sich auch primär aus öffentlichen Daten zusammen, daher sehe ich da kein Problem das so zu veröffentlichen."
Nachdem die Sicherheitslücke bekannt geworden war, nahm Bonify die App vorerst offline. In der App und auf der Website heißt es: "Wir entschuldigen uns für die Unannehmlichkeiten, wir führen gerade Wartungsarbeiten durch". Der Dienst sei in Kürze wieder online.
Auch vor diesem Vorfall hatte es massiv Kritik an der Bonify-App gegeben. Verbraucherschützer kritisieren etwa, dass die Schufa Einblick in noch mehr persönliche Daten von Privatpersonen bekomme.
Hinweis: In einer früheren Version des Textes hieß es, dass die Hackerin die Schufa-Auskunft von Jens Spahn veröffentlicht habe. Das ist unzutreffend. Es handelte sich dabei lediglich um eine Mieterauskunft, die auf Basis öffentlich bekannter Daten erstellt wurde. Wir bitten den Fehler zu entschuldigen.
- Twitter- & Mastodon-Profil von Lilith Wittmann
- golem.de: "Hackerin veröffentlicht Schufa-Mieterauskunft von Jens Spahn"