Unsichere Schufa-App: So fälschte eine Hackerin Jens Spahns Mietauskunft
Die Kreditauskunft der Schufa ist umstritten. Das Vertrauen in die Auskunftei wurde nun noch einmal gestört: Am 22. Juli 2023 nutzte die Sicherheitsforscherin Lilith Wittmann eine Lücke in der Bonify-App , um eine Mietauskunft mit den Daten von Ex-Gesundheitsminister Jens Spahn zu erstellen.
Bonify, ein Angebot der Berliner Forteil GmbH, bietet "Services rund um Bonität und die persönlichen Finanzen" an - darunter auch Bonitätsauskünfte. Seit 2022 gehört das Unternehmen der Schufa, die App soll eine wichtige Rolle bei der Transparenzoffensive der Auskunftei spielen .
Wittmann kritisiert Bonify scharf. Die Schufa habe ein Start-up gekauft, das "nicht mal über absolutes Grundlagenwissen im Bereich Softwarearchitektur verfügt und einfach irgendwelche Verfahren irgendwie zusammenhackt" , was gegen die eigenen AGB verstoße. Wittmann hingegen "habe jetzt den Kreditscore von Jens Spahn."
Momentan ist Bonifys "Einblick in deine Bonitätsdaten" im Wartungsmodus. Golem.de hat die Zwangspause genutzt und mit allen Beteiligten gesprochen, um ein klareres Bild von einem hektischen Samstag nachzuzeichnen.
Echte Scores mit manipulierten Daten
Bonify wurde nach eigenen Aussagen am 22. Juli 2023 gegen 19 Uhr über die Veröffentlichung der falschen Mietauskunft informiert. Wittmann twitterte um 17:13 Uhr einen Screenshot(öffnet im neuen Fenster) , den sie später auch auf Mastodon veröffentlichte(öffnet im neuen Fenster) . Darauf zu sehen: eine auf den ersten Blick authentisch wirkende Mieterauskunft für Jens Spahn, mit korrektem Geburtsdatum und einer Berliner Anschrift.
"Wir haben das Vorgehen umgehend reproduziert" , sagt Bonify Golem.de. Dabei habe man festgestellt, dass es während der Anmeldung mit dem Kontoident-Verfahren - der Identifikation über ein Bankkonto - tatsächlich eine Manipulationsmöglichkeit gab. Bonify sei von Wittmann nicht vorab informiert worden.
Die Fehlerquelle wurde laut Bonify noch am selben Tag gegen 22 Uhr beseitigt. "Eine Manipulation von Adressangaben im Rahmen des Identifikations- und Anmeldevorgangs ist nach derzeitigem Kenntnisstand nicht mehr möglich" , heißt es. Ein Sprecher von Bonify versicherte Golem.de außerdem, dass die Lücke - außer von Wittmann - nicht ausgenutzt worden sei. Man könne auch sagen, wann das Problem entstanden sei.
Boniversum, Bonify und die Schufa
Bei dem Score, den auch Wittmann veröffentlichte, handelte es sich nicht um die bekannte Schufa-Bewertung, sondern um eine des Anbieters Boniversum. Die Tochtergesellschaft der Creditreform AG nutzt eigene, deutlich kleinere Datensätze, um die Kreditwürdigkeit zu prüfen.
In der von Wittmann veröffentlichten Auskunft über Jens Spahn habe es sich nicht um eine echte Bewertung seiner Zahlungsfähigkeit gehandelt, sondern lediglich um eine auf Basis der übermittelten Adresse errechnete Bewertung. Hierbei geht es nach dem Berliner Mietspiegel um eine gute Wohnlage, entsprechend positiv fiel die Bewertung aus.
Das fällt auch beim Blick auf die veröffentlichte Mieterauskunft auf: Die Miete von rund 955 Euro wäre für die angegebene Lage zu niedrig. Diese Zahl stammt von Wittmann, aus der Verifikation mit dem Kontoident-Verfahren. Echte Daten über Spahn sind, abgesehen von der eingegebenen Adresse, nicht geleakt.
Schufa schaltet die eigene App ab
Auch Wittmann sagt, dass sie mit ihrer Methode nicht auf einen Schufa-Score zugreifen konnte, selbst wenn Bonify diese über die App ebenfalls anbietet. "Das liegt daran, dass ein anderer Microservice diesen von der Schufa abruft, allerdings schon bevor ich die Daten der Person manipulieren kann" , erklärt sie auf ihrem Blog(öffnet im neuen Fenster) .
Dennoch habe die Schufa "vorsorglich" gegen 22:15 Uhr einen Stopp im Datenaustausch mit Bonfiy veranlasst. Das teilte das Unternehmen Golem.de auf Anfrage mit. Am Sonntag gegen 12 Uhr wurde auch der Datenaustausch zwischen Boniversum und Bonify angehalten - von Boniversum.
"Derzeit finden Wartungsarbeiten statt" , teilte Bonify noch am Montag mit. Zu diesem Zeitpunkt sind die Dienste von Bonify weder über App noch Webseite erreichbar. "Sobald diese Arbeiten beendet sind, wird der Basisscore der Schufa wieder zur Verfügung stehen" , heißt es. Das soll einem Sprecher zufolge schon "in Kürze" der Fall sein.
Rückschlag für die Schufa-Transparenzoffensive
Für die Schufa ist das ein Rückschlag in ihrer jüngst eingeleiteten Transparenzoffensive. Erst am 14. Juli 2023 hat die Auskunftei angekündigt, Verbrauchern mit der Bonify-App mehr Kontrolle über ihre Daten ermöglichen zu wollen .
"Nach unserem jetzigen Kenntnisstand hat eine IT-Sicherheitsexpertin und Aktivistin im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen" , schreibt die Schufa auf Anfrage in einer Stellungnahme.
Es habe "zu keinem Zeitpunkt eine Übermittlung von Daten der Schufa an Bonify stattgefunden" . Deren Abfrage sei durch die "von der Schufa implementierten Sicherheitsstandards" verhindert worden. Schufa-Daten seien "zu keiner Zeit" von dem Vorfall betroffen gewesen, versichert die umstrittene Auskunftei.
Nicht der einzige Kritikpunkt an Bonify
Der Vorfall um die vermeintliche Mietauskunft des CDU-Politikers war nicht die einzige Aufregung um Bonify. Bereits vergangene Woche war Bonify Kritik ausgesetzt. Der Sicherheitsforscher Mike Kuketz warf Bonify am 19. Juli 2023 vor(öffnet im neuen Fenster) , gegen die DSGVO zu verstoßen.
Bonify schreibt in einer Stellungnahme, schon am 20. Juli 2023 "erste Lösungen implementiert" zu haben: "Vor allem, um eine Weitergabe von Daten an Drittanbieter zu unterbinden" , sei der kritisierte Tracking-Dienst Segment abgeschaltet worden. "Damit ist ein Gros des beanstandeten Procederes bei einer Nutzung der App bereinigt worden. Für die restlichen Kritikpunkte haben wir einen Aktionsplan aufgestellt und gehen davon aus, dass innerhalb von zwei Wochen auch diese verbliebenen Fehlerquellen beseitigt sein werden" , heißt es.
Sicherheitsanalyse läuft noch
Das Start-up Forteil GmbH wurde 2015 gegründet, im Dezember 2022 übernahm die Schufa den Anbieter der Bonify-App. Die Schufa betont in einer Stellungnahme an Golem.de, dass es sich auch nach der Übernahme um zwei getrennt operierende Unternehmen handele.
Auch wenn es sich bei der Schufa und Bonify-Betreiber Forteil um zwei Unternehmen handele, habe die Schufa "selbstverständlich ein großes Interesse daran, die hohen Sicherheits- und Qualitätsstandards der Schufa auch auf Bonify zu übertragen." Derzeit unterstütze die Schufa ihr jüngstes Tochterunternehmen dabei, "Produkte, Services und die Qualität bisheriger Kooperationspartner zu untersuchen und gegebenenfalls Veränderungen vorzunehmen." Diese Sicherheitsanalysen sollen bis zum Herbst dieses Jahres abgeschlossen sein.
Zum jetzigen Stand am 24. Juli 2023 ist Bonify weiterhin offline. Lilith Wittmann wertet das als Erfolg. "Freut mich immer sehr, wenn meiner generellen Empfehlung 'abschalten' gefolgt wird" , schreibt die Sicherheitsexpertin auf Twitter(öffnet im neuen Fenster) .
Bleibt die Frage: Warum ausgerechnet Jens Spahn? "Weil Jens Spahns ehemaliger Wohnort im Rahmen der Villenaffäre(öffnet im neuen Fenster) öffentlich bekannt wurde" , sagt Wittmann zu Golem.de. "Somit wurden außer seinem von Boniversum errechneten Score keine neue PII(öffnet im neuen Fenster) öffentlich. Ob dieser Score ein personenbezogenes Datum ist, ist eine andere interessante Frage."