Sicherheitslücke in Schufa-App: Mieterauskunft von Jens Spahn landet im Netz
Die Sicherheitsforscherin Lilith Wittmann des Kollektivs Zerforschung ist es gelungen, eine Sicherheitslücke bei Bonify zu finden. Bonify ist eine App der Schufa, die eine kostenlose Bonitätsprüfung ermöglicht.
Der Hackerin war es möglich, Mieterauskünfte anderer Personen abzurufen – auch die des ehemaligen Bundesgesundheitsministers Jens Spahn.
Bonify-App sollte eigentlich Identitätsbetrug vorbeugen
Im Mai 2022 wurde bekannt, dass Bonify und die Schufa im Rahmen einer Vertriebskooperation zusammenarbeiten wollen. Als erstes Produkt war der Schufa-Bonitätscheck abrufbar.
Das Startup hinter der Bonify-App wurde 2015 von Andreas Bermig, Josef Korte, Gamal Moukabary und Jan Ortmann gegründet. Mit der Übernahme der Bonify-Finanzmanager-App 2022 wollte die Schufa ihr Vertriebsnetzwerk erweitern und eine Zielgruppe erreichen, die sich für Finanzthemen interessiert.
Schufa-Chefin Tanja Birkholz erklärte in einem Interview mit der Zeit, dass die Schufa in Zukunft von sich aus Verbaucher:innen über negative Einträge in ihren Daten informieren wolle. Da kommt die Schufa-App Bonify ins Spiel – denn nur mithilfe einer Registrierung in dieser App kann man das Angebot nutzen.
Birkholz sei selbst auch schon „mehrfach Opfer von Identitätsbetrug“ geworden und hat davon nur erfahren, weil sie ein Angebot der Schufa nutzt, das sie über eine Kreditanfrage informiert hat.
Boniversum-Score von Jens Spahn
Lilith Wittmann hat auf Mastodon mitgeteilt, wie sie an die Daten von Jens Spahn gekommen ist: „Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren. So kam ich zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.“
Der sogenannte Boniversum-Score wird zur Risikobewertung von Unternehmen und Privatpersonen ermittelt. Er wird auf einer Skala von 1 bis 1079 berechnet. Liegen negative Merkmale vor, wird kein Score berechnet. Ein Score von 800 ist laut Bonify ausbaufähig. Die errechnete Rückzahlungswahrscheinlichkeit läge bei diesem Score bei etwa 70 Prozent.
Bonify-App außer Betrieb
Nach Bekanntwerden der Lücke wurde der Dienst von Bonify vorerst außer Betrieb genommen. „Wir entschuldigen uns für die Unannehmlichkeiten, wir führen gerade Wartungsarbeiten durch“, heißt es in der App und auf der Webseite.
Auch eine Abfrage der eigenen Bonität ist damit aktuell nicht möglich – aber in der Zeit kann man auch die Daten von Jens Spahn genauer unter die Lupe nehmen, die Lilith Wittmann geteilt hat. Da sich der Boniversum-Score primär aus öffentlichen Daten zusammensetzt, sollte es laut Wittmann kein Problem sein, die Daten von Jens Spahn öffentlich zu machen.