Am Samstag ließ die bekannte Hackerin und Aktivistin Lilith Wittmann auf Twitter eine Bombe platzen. Denn sie veröffentlichte die Mieterauskunft und die Bonitätsinformationen des ehemaligen Bundesgesundheitsministers Jens Spahn. Und eine solche Auskunft ließe sich angeblich dank einer Sicherheitslücke in der zur Schufa gehörenden Bonify-App für jeden beliebigen Bürger anfertigen. Sind also sämtliche Nutzerdaten der beiden benutzten Kreditauskunfteien Schufa und Boniversum in Gefahr?
Bonify gibt Entwarnung: Nutzerdaten anderer Personen sicher
Betrachtet man die veröffentlichte Mieterauskunft und den Boniversum-Score von Jens Spahn, fallen sofort einige Ungereimtheiten auf. In erster Linie ein falsches Geburtsdatum, doch auch die durchschnittliche monatliche Mietzahlung in Höhe von gerade einmal 955,51 Euro wirkt unglaubwürdig.
Wir haben uns bei Bonify (Forteil GmbH) erkundigt und erhielten die Versicherung, dass zu keinem Zeitpunkt persönliche oder finanzielle Daten von Herrn Spahn oder anderen Namen gehackt worden seien. Demnach seien diese auch nicht übermittelt worden. Der von Wittmann veröffentlichte Score basiere einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn. Konkret errechnete das Programm einen sogenannten Geoscore auf Basis der eingetragenen Adresse. Dies sei dank einer Schwachstelle in der Anmeldeprozedur beim Kontoident-Verfahren möglich gewesen, die es der Aktivistin möglich machte, Namen und Adressen zu manipulieren. Die abgebildete Mietzahlung wurde indes auf Basis des Bankkontos ermittelt, mit dem sich Wittmann identifizierte.
Eine Übermittlung der von der Schufa gehorteten Nutzerdaten scheint derweil nicht erfolgt zu sein. Wie uns eine Schufa-Sprecherin mitteilte, hätten die von der Schufa implementierten Sicherheitsstandards für eine Anmeldung zur Schufa-Score-Abfrage die unrechtmäßige Adressverwendung verhindert.
Unklar bleibt derweil, ob Anwender die eigenen Bonitätsinformationen mittels einer falschen Adresse und des damit verbundenen Geoscores hätten manipulieren können. Um beispielsweise eine negative in eine positiv und dazu noch zertifizierte Mieterauskunft zu verwandeln.
Sicherheitslücke bereits geschlossen
Laut einem Bonify-Sprecher hätte das Unternehmen „sofort Maßnahmen ergriffen und die Anmeldung zur Identifizierung überarbeitet“. Die Fehlerquelle sei bereits am Samstag gegen 22 Uhr beseitigt gewesen. Weitere Manipulationen von Adressangaben im Rahmen des Identifikations- und Anmeldevorgangs seien daher „nach derzeitigem Kenntnisstand“ nicht mehr möglich. Nichtsdestotrotz hätten die Verantwortlichen nur 15 Minuten nach der Fehlerbeseitigung den Datenaustausch zwischen der Schufa und Bonify gestoppt. Am darauffolgenden Tag sei zudem auch die Verbindung zu Boniversum gekappt worden. Derzeit ist die Bonify-Website aufgrund von Wartungsarbeiten nicht erreichbar. Nach ihrer Beendigung soll die Abfrage von Schufa-Daten wie gewohnt erfolgen. Der Boniversum-Score wird dagegen „bis auf Weiteres“ nicht mehr bei Bonify abrufbar sein.
