Hack bei Bonify: Schufa-Tochter macht kurzzeitig sensible Daten öffentlich

Durch eine Sicherheitslücke waren sensible Daten aus der Schufa-App Bonify öffentlich zugänglich, wie die Hackerin Lilith Wittmann öffentlich machte. Kurz zuvor hatte die Auskunftei noch eine Transparenz-Offensive angekündigt.

So hatte sich die Schufa ihre angekündigte Transparenz-Offensive nicht vorgestellt. Die Auskunftei wollte mit ihrem Zukauf Bonify Verbraucherinnen und Verbrauchern ermöglichen, ihre Kreditwürdigkeit kostenlos einzusehen und zu verbessern. Die Anwendung stürmte die App-Charts, Schätzungen zufolge machte sie 30.000 bis 50.000 Downloads pro Tag (Finance Forward berichtete).

Doch das Vorhaben ging wenige Tage nach dem Launch schief. Eine Sicherheitslücke ermöglichte es über den Service Boniversum, nicht nur die eigenen, sondern auch beliebige Mieterauskünfte abzurufen. IT-Sicherheitsexpertin Lilith Wittmann hatte auf Twitter eine Auskunft von Ex-Gesundheitsminister Jens Spahn veröffentlicht. „Nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren“, erklärte sie.

Die Schufa teilte mit, ihre Daten seien „zu keiner Zeit von dem Vorfall betroffen gewesen“, ihre Sicherheitsstandards hätten das verhindert. Bonify räumte die Schwachstelle ein. „Der von Lilith Wittmann veröffentlichte Score basierte einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn“, heißt es in einem Statement. Die App und Website ist seitdem offline.