Schufa-Gate: Hackerin beschafft sich Bonitätsauskunft von Jens Spahn
In der von der Schufa vorgestellten Bonify-App zur Einsicht in die eigene Kreditwürdigkeit hat eine gravierende Sicherheitslücke geklafft. Über die App Bonify konnten unberechtigt Mietbonitätsbescheinigungen abgerufen werden – auch von Prominenten.
Das geht aus Veröffentlichungen der Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv „Zerforschung“ auf Twitter und Mastodon hervor. Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen. Über den Vorfall hatte zuerst die „Süddeutsche Zeitung“ berichtet.
Hackerin verschaffte sich Zugang zu Spahns Boniversum-Score
Wittmann hatte eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. „Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren“, schrieb Wittmann auf Mastodon. Auf diesem Weg ließ sich die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn ausstellen.
Der Boniversum-Score entspricht der Mietbonitätsbescheinigung. Es handelt sich hier nicht um den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.
Hackerin entdeckt Lücke im System
Bei der Schufa hieß es auf Anfrage, nach dem jetzigen Kenntnisstand habe die Expertin „im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen.“ Eine Abfrage des Schufa-Scores sei damit nicht möglich gewesen. „Schufa-Daten sind zu keiner Zeit von dem Vorfall betroffen gewesen.“
Hacker-Aktivistin in scharfer Kritik
Die umfassende Schufa-Bewertung ist für Verbraucherinnen und Verbraucher wichtig. Banken, Versandhändler, Mobilfunkunternehmen oder Energieversorger erkundigen sich bei privaten Auskunfteien wie der Schufa nach der Kreditwürdigkeit ihrer Kundschaft.
Das könnte Sie auch interessieren: Er bekam sogar Fäkalien per Post: Spahn verkauft seine umstrittene Villa
Kritik im Netz erntete Wittmann für ihre Entscheidung, ihre Mitteilung über den Bonify-Hack mit Screenshots des Boniversum-Scores von Spahn zu illustrieren, auf denen auch das Geburtsdatum und die Adresse des ehemaligen Bundesgesundheitsministers zu sehen ist. „Privacy ist nicht so dein Ding, hm?“, schrieb ein Twitter-Anwender (Privacy = Datenschutz). Wittmann rechtfertigte sich, die Daten seien seit der Diskussion um den umstrittenen Kauf einer Villa durch Spahn ohnehin bekannt. (dpa)