Um auf eine Sicherheitslücke der Schufa-App Bonify hinzuweisen, teilte eine Sicherheitsforscherin die Schufa-Mieterauskunft des ehemaligen Gesundheitsministers Jens Spahn auf Mastodon. Nach Bekanntwerden des Problems wurde der Dienst von Bonify nun vorerst abgeschaltet.
Im Dezember 2022 wurde das Unternehmen Bonify von der Schufa übernommen. In der gleichnamigen App können Nutzer überprüfen, ob sie kreditwürdig sind oder nicht. Somit sollen sie ihre Bonität jederzeit und kostenlos abrufen können – für mehr Transparenz, hieß es zum damaligen Zeitpunkt. Nachdem jedoch wegen einer Sicherheitslücke am Wochenende die Mieterauskünfte von anderen Personen abgerufen werden konnten, ist die App nun vorerst offline. Auch die Daten des ehemaligen Gesundheitsministers Jens Spahn wurden veröffentlicht – von der Sicherheitsforscherin Lilith Wittmann.
Wittmann, die Teil des Hackerkollektivs Zerforschung ist, gelangte durch die Lücke an eine Schufa-Mieterauskunft des CDU-Politikers. „Ihr habt vielleicht von Bonify gehört“, heißt es in ihrem nach wie vor abrufbaren Beitrag auf dem Mikroblogging-Dienst Mastodon, „eine Tochterfirma der Schufa, die euch eure Kreditwürdigkeit anzeigt und auch Mieterauskünfte ausstellt. Das macht sie aber nicht nur für euch persönlich, sondern für jeden, für den ihr mal eine Kreditauskunft haben wollt.“
„Wir entschuldigen uns für die Unannehmlichkeiten“
Indem sie die Auskunft von Jens Spahn – alles „öffentlich bekannte“ Informationen, wie die Expertin betonte – teilte, machte Wittmann auf die Sicherheitslücke der App aufmerksam: „Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren“, erklärte sie. „So kam ich zum Beispiel an Jens Spahns Boniversum-Score.“
Wittmann veröffentlichte einen Screenshot der Mieterauskunft. Nach Bekanntwerden der Lücke meldete sich Bonify selbst zu Wort: „Wir entschuldigen uns für die Unannehmlichkeiten, wir führen gerade Wartungsarbeiten durch“, heißt es in der App und auf der Internetseite. Der Dienst wurde vorerst abgeschaltet und Bonify sei „in Kürze wieder online“.