Datenleck bei Infoscore: Erneut Bonitätsdaten frei zugänglich im Netz
Die Sicherheitsforscherin Lilith Wittmann hat es schon wieder getan: Innerhalb weniger Tage ist es ihr ein zweites Mal gelungen, ein Datenleck bei einer großen Auskunftei aufzudecken. Bonitätsdaten von Millionen von Verbrauchern standen dadurch frei zugänglich im Netz. Dieses Mal stammen die Daten vom Schufa-Konkurrenten Infoscore.
"Am Wochenende hatte ich Zugang, zu den Kreditauskünften aller Menschen in Deutschland bei Arvato Infoscore" , schreibt Wittmann auf Linkedin(öffnet im neuen Fenster) und Mastodon(öffnet im neuen Fenster) . Wie die Tagesschau(öffnet im neuen Fenster) unter Verweis auf Informationen des NDR und der Süddeutschen Zeitung(öffnet im neuen Fenster) berichtete, hatte die Forscherin damit Zugriff auf Bonitätsdaten von fast acht Millionen Verbrauchern.
Betroffen sind demnach auch sogenannte Negativdaten, also Informationen, die sich beispielsweise auf Mahnverfahren oder Privatinsolvenzen beziehen.
Identifizierung umgangen
Wie Wittmann erklärt, war der Datenabruf über ein vom Kreditvermittler Smava betriebenes Portal namens Score Kompass möglich. Dieses habe es ihr erlaubt, "bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte" , so dass sie den Identifizierungsprozess per Ausweis oder Bankkonto umgehen konnte und direkt Zugriff auf den jeweiligen Score bekam.
Auf Basis ihrer Entdeckung war die Forscherin zudem in der Lage, eine Programmierschnittstelle zu entwickeln und damit weitere Informationen über den Scorer von Arvato zu erhalten.
Damit habe sie beispielsweise festgestellt, dass Personen im Alter von 50 Jahren im Vergleich zu 25-jährigen Personen, "einfach pauschal 15 Punkte mehr" bekommen. "Wenn man im Gefängnis sitzt oder in einer Unterkunft für wohnungslose Menschen gemeldet ist, bekommt man auf der Basis der Adresse einen sehr, sehr schlechten Score und für Frauen gibts 11 Punkte mehr" , schreibt Wittmann weiter auf Linkedin.
Infoscore zeigt auf Partner
Nach Angaben der Tagesschau erklärte ein Sprecher von Infoscore, das Unternehmen sei über "einen mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen" informiert worden und untersuche diesen bereits. Systeme von Infoscore Consumer Data seien nach aktuellem Kenntnisstand nicht beeinträchtigt oder gefährdet. Den Zugriff der betroffenen Partnerunternehmen auf die Infoscore-Daten habe man sofort unterbunden.
Die zuständigen Landesdatenschutzbehörden in Stuttgart und Berlin sollen zumindest bis Montagmittag noch nichts von dem Datenleck gewusst haben.
Für Wittmann ist dies längst nicht der erste Vorfall dieser Art. Erst vor wenigen Tagen war es ihr möglich, über Itsmydata eine Bonitätsauskunft im Namen des ehemaligen Gesundheitsministers Jens Spahn einzuholen – ähnlich wie schon im Sommer 2023 über die Bonify-App .
"Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten" , so das Fazit der Forscherin.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.