Die Bonitäts-Auskunftei Schufa hat kürzlich die App Bonify einer Tochterfirma in einer aktualisierten Fassung freigegeben, mit der Verbraucher selbst – nach Registrierung – ihre Kreditwürdigkeits-Einstufung laut Schufa kostenlos einsehen können; auch eine (kostenpflichtige) Mieterauskunft ist möglich. Mit dem neuen Service wolle die Schufa die Transparenz erhöhen und den Menschen mehr Kontrolle über ihre Daten geben, sagte das Unternehmen zur Veröffentlichung. Doch damit hat es nicht so geklappt wie gedacht: Eine Sicherheitslücke in der App erlaubte es offenbar für einen sehr kurzen Zeitraum, beliebige Daten aus dem Dienst abzurufen. Das beschreibt und demonstriert die Hackerin und Aktivistin Lilith Wittmann auf ihrem Mastodon-Konto.

Schnittstelle eine Sekunde lang offen für Anfragen

Dort schildert sie, dass man über die von ihr entdeckte Lücke in dem App-API eine Kreditwürdigkeits-Auskunft für jede beliebige Person erhalten könne. Dies sei unmittelbar nach Abschluss der Verifikation über das Bankident-Verfahren möglich – jedoch nur eine Sekunde lang. In diesem Zeitraum könne man Daten über das API aktualisieren, schreibt Wittmann. Zur Illustration besorgte sie sich eine Mieterauskunft über den CDU-Politiker und früheren Bundesgesundheitsminister Jens Spahn und veröffentlichte die Screenshots ebenfalls auf Mastodon.

Um sich bei der Bonify-App anzumelden, gibt es zwei Wege: einmal über das Ident-Verfahren des Anbieters IDNow (mit Personalausweis) sowie über eine Registrierung per Bankkonto (inklusive Einblick durch Bonify für 90 Tage). Ob die von Wittmann beschriebene Lücke auf das Identverfahren beschränkt ist, bleibt offen. Wegen der einschränkenden Bedingung (Abschluss der Verifikation) und des kurzen Zeitraums von einer Sekunde ist es unwahrscheinlich, dass über die Lücke massenhaft Daten abgegriffen werden; ausgeschlossen ist es aber nicht. Wittmann schreibt außerdem, dass sie die Schufa vorerst noch nicht auf das Problem hingewiesen habe.

Derzeit ist der Bonify-Dienst nicht verfügbar, die Website meldet beim Versuch, sich anzumelden, laufende Wartungsarbeiten.

(tiw)