Mit der Übernahme der Bonify-App wollte die Schufa eigentlich einen Sprung in Richtung mehr Kundenservice machen. Nutzer sollen darüber ihren Schufa-Basisscore jederzeit und kostenfrei abfragen können. Doch die Funktion ist offenbar mit einem erheblichen Sicherheitsproblem gestartet.

Hackerin führt Schufa vor: Was hat Jens Spahn damit zu tun?

Der Start einer neuen Funktion in der Bonify-App der Schufa wird von einer bitteren Sicherheitslücke überschattet. Entdeckt hat sie die Hackerin und Sicherheitsforscherin Lilith Wittmann vom bekannten Kollektiv Zerforschung. Sie konnte mit einem simplen Trick an die Bonify-Daten anderer Personen gelangen – und sich in deren Namen etwa eine Mieterauskunft erzeugen lassen.

Im Beispiel, das Wittmann bei Mastodon geteilt hat, hat sie sich den ehemaligen Bundesgesundheitsminister Jens Spahn ausgesucht. Neben den Adressdaten des CDU-Politikers, an die Wittmann offenbar problemlos gelangt ist, konnte sie sich auch in Spahns Namen eine Mieterauskunft via Bonify erstellen lassen – und hat ihr Ergebnis anschließend öffentlich geteilt.

„Nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren. So kam ich zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen“, erklärt Wittmann auf ihrem Mastodon-Profil.

Theoretisch könnte über die Lücke jeder technisch ausreichend versierte Nutzer das gleiche tun – und eben nicht nur mit bekannten Persönlichkeiten wie Jens Spahn.

Schufa wiegelt ab: Sicherheitsmaßnahmen funktionieren

Offenbar infolge der Entdeckung war die Bonify-App sowie die zugehörige Webseite nach dem Start der Funktion eine Zeit lang nicht zu erreichen. Der Schufa zufolge sei das Problem hingegen nicht gravierend: Eine „IT-Sicherheitsexpertin und Aktivistin“ habe „eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen“, so die Auskunftei gegenüber Golem.

Negativer Schufa-Score? Wer sparsam lebt, kommt besser wieder raus:

„Die von der Schufa implementierten Sicherheitsstandards für eine solche Anmeldung zur Schufa-Scoreabfrage haben die unrechtmäßige Adressverwendung verhindert“, erklärt die Schufa weiter. So bestätigt man einerseits die Sicherheitslücke bei Bonify – das Unternehmen gehört der Schufa.

Andererseits liege der Fehler eben nicht bei der Schufa. Deren Sicherheitsvorkehrungen sollen gehalten haben. So oder so stellt der Vorfall das ohnehin kritisierte, neue Angebot der Schufa direkt zum Start schlecht dar.