Die App “Bonify” der Wirtschaftsauskunftei Schufa ist am Wochenende infolge einer gravierenden Sicherheitslücke einem Hack erlegen. Dies teilte am Samstag zunächst die verantwortliche IT-Sicherheitsexpertin und Aktivistin Lilith Wittmann auf dem Kurznachrichtendienst Twitter mit. Über die Bonify-App konnten Nutzer eine Bonitätsauskunft über sich einholen, die zum Beispiel für den Abschluss von Mietverträgen oder Krediten nötig ist.
Auf ihrer Medium-Seite und dem Netzwerk Mastodon beschrieb Wittmann, wie sie sensible Daten aus der Datenbank der App abfragen und manipulieren konnte. Durch die Sicherheitslücke erhielt Wittmann laut eigener Aussage Zugriff auf die Bewertung der Bonität von CDU-Politiker Jens Spahn. Die Schufa habe ein Startup gekauft, das nicht einmal über absolutes Grundlagenwissen im Bereich Softwarearchitektur verfüge, so Wittmann.
#Bonify befindet sich jetzt erstmal in “Wartungsarbeiten”.Ich wünsche alles Gute dabei. pic.twitter.com/fwtQLfsfeq
— Lilith Wittmann (@LilithWittmann) July 23, 2023
Bonify und Schufa bestätigten Datenleck
Außerdem kritisierte Wittmann die undurchsichtige Praxis von Bonitätsscores und das Interesse, das die Schufa an Bonify habe. Dazu gehöre, dass Nutzer der App bei der Anmeldung den Zugriff zum eigenen Bankkonto gewähren müssen. Dadurch erhalte die App Zugriff auf die Liste aller Transaktionen des verknüpften Bankkontos, ein “wahrer Datenschatz, um die Bonität von Menschen zu bewerten”.
Die Schufa und ihre Tochterfirma Bonify bestätigten mittlerweile das Datenleck, bestritten aber, dass Schufa-Daten betroffen seien. Demnach seien zu keiner Zeit persönliche oder finanzielle Daten von Herrn Spahn gehackt und dementsprechend auch nicht übermittelt worden. Am Montagnachmittag war der Schufa-Service über die App nicht mehr zu erreichen.
Mehr zum Thema – Absicherung bei der Deutschen Bahn: Schufa-Check vor Ausstellung des 49-Euro-Tickets