© Sasun Bughdaryan / 123RF.com

Über eine Sicherheitslücke in der App Bonify ist es Angreifern möglicherweise gelungen, Schufa-Daten Fremder abzufragen. Der App-Anbieter bestreitet das, räumt aber ein, dass man den Name desjenigen manipulieren konnte, der eine Schufa-Selbstauskunft angefordert hat.

Zu den Aktionären der Schufa Holding AG, einer privatwirtschaftlichen deutschen Wirtschaftsauskunftei, gehören beispielsweise Kreditinstitute und Handelsunternehmen. Geschäftszweck ist es, die Vertragspartner mit Informationen über die Bonität Dritter zu versorgen. Die Schufa verfügt insgesamt über 943 Millionen Einzeldaten zu 67,9 Millionen natürlichen Personen und zu 6 Millionen Unternehmen. Die Schufa hat kürzlich die App Bonify aktualisiert, die es Verbrauchern nach Registrierung ermöglicht, Informationen über ihre Kreditwürdigkeit und eine Mieterauskunft kostenlos einzusehen. Das soll die Transparenz erhöhen und den Nutzern mehr Kontrolle über ihre Daten geben. Dummerweise gab es jedoch kurzzeitig eine Sicherheitslücke, die es ermöglicht haben soll, beliebige Daten aus der App abzurufen [1].

Grundsätzlich verwendet die App das Kontoident-Verfahren zur Authentifizierung. Um den Dienst zu nutzen, wird Finleap Connect in die Website einbezogen, eine Plattform für die Integration von Finanzdienstleistungen und Banking-Lösungen. Nutzer loggen sich darüber ein, indem sie ihren Namen bei der Bank eingeben und ihr Konto für Bonify freigeben. In einem letzten Schritt müssen sie weitere personenbezogene Daten angeben. Bonify erhält schließlich den Namen und die Transaktionshistorie des Bankkontos sowie alle anderen vom Nutzer freigegebenen Informationen.

Auf der technischen Ebene läuft die Kommunikation der App über diverse Microservices, die über entsprechende Endpunkte angesteuert werden. Der Endpunkt https://cloud-prod.bonify.de/user-management-prod/user dient dazu, Nutzer anzulegen und Profile zu aktualisieren. Über https://cloud-prod.bonify.de/schufa-score-management-prod/ erfolgt hingegen der Abruf des Schufa-Scores.

Der Endpunkt https://cloud-prod.bonify.de/finleap-wl-api-prod/validation wird zur Validierung von Personen zusammen mit dem Namen und einem Code aufgerufen. Mithilfe des Codes fragt der Microservice über eine weitere Schnittstelle bei Finleap ab, mit welchem Namen sich der Nutzer gerade bei seiner Bank eingeloggt hat. Schickte man aber während dieser Überprüfung einen weiteren Namen an den Microservice, wurde der geprüfte Name einfach von dem neuen Namen überschrieben. Das Profil wurde trotzdem als über die Bank validiert markiert. Dieses Einschmuggeln eines anderen Namens musste innerhalb eines sehr kleinen Zeitfensters (im Sekundenbereich) erfolgen. Es ist daher unwahrscheinlich, dass die Sicherheitslücke im großen Stil ausgenutzt wurde.

Die Hackerin Lilith Wittmann demonstrierte die Schwachstelle medienwirksam, indem sie die Daten (Mieterauskunft und Boniversum-Score) des Politikers Jens Spahn abrief. Das hat allerdings die Schufa-Tochter Forteil, der Anbieter der Bonify-App, dementiert [2]. Das Unternehmen räumt zwar ein, dass es im Rahmen des Kontoident-Verfahrens tatsächlich möglich gewesen sei, während der Anmeldeprozedur Namen und Adresse zu manipulieren. Allerdings seien dabei keine Schufa-Daten an Bonify übermittelt worden. Die App würde bei der Attacke zwar einen anderen Namen anzeigen, aber immer noch die Daten des ursprünglichen Accounts und nicht die zum eingeschmuggelten Namen. Laut Forteil konnten durch den Angriff also keine persönlichen Daten anderer Person abgegriffen werden.

Allerdings behauptet die Originalmeldung zur Schwachstelle, dass tatsächlich die Daten anderer Benutzer abgefragt wurden, und demonstriert das auch nachvollziehbar. Mittlerweile ist die Schwachstelle jedoch geschlossen und der Angriff nicht mehr möglich. (jcb)