Themenspezial: Verbraucher & Service Bonify-App

Schufa-Mieterauskünfte unter fremden Namen abrufbar

Der Schufa-Basis­score sollte kostenlos in der Bonify-App verfügbar gemacht werden. Nach erster Kritik am Einblick ins Bank­konto folgt nun die nächste Panne: In der App klaffte eine gravie­rende Sicher­heits­lücke.
Von dpa /

Bonify-App der Schufa aktuell wenig vertrauenswürdig Bonify-App der Schufa aktuell wenig vertrauenswürdig
Bild: Bonify / Schufa In der von der Schufa vorge­stellten Bonify-App zur Einsicht in die eigene Kredit­wür­dig­keit hat eine gravie­rende Sicher­heits­lücke geklafft. Über die App der Schufa-Toch­ter­gesell­schaft Bonify konnten unbe­rech­tigt Miet­boni­täts­beschei­nigungen abge­rufen werden.

Das geht aus Veröf­fent­lichungen der Sicher­heits­for­scherin Lilith Witt­mann aus dem Hacker-Kollektiv "Zerfor­schung" auf Twitter und Mast­odon hervor. Heute Nach­mittag war der Schufa-Service über die App nicht zu errei­chen. Über den Vorfall hatte zuerst die Süddeut­sche Zeitung berichtet.

Schwach­stelle bei der Iden­titäts­über­prü­fung

Bonify-App der Schufa aktuell wenig vertrauenswürdig Bonify-App der Schufa aktuell wenig vertrauenswürdig
Bild: Bonify / Schufa Witt­mann hatte eine Schwach­stelle bei der Iden­titäts­über­prü­fung ausge­nutzt. "Denn nachdem ihr eure Daten über das Banki­dent-Verfahren veri­fiziert habt, könnt ihr diese für etwa eine Sekunde über eine Program­mier­schnitt­stelle aktua­lisieren", schrieb Witt­mann auf Mast­odon. Auf diesem Weg ließ sich die Hacker-Akti­vistin den soge­nannten Boni­versum-Score des CDU-Poli­tikers Jens Spahn ausstellen. Der Boni­versum-Score entspricht der Miet­boni­täts­beschei­nigung. Es handelt sich hier nicht um den umfas­sen­deren Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kredit­karten-Akti­vitäten, Bank­konten und andere Daten erfasst werden.

Bei der Schufa hieß es auf Anfrage, nach dem jetzigen Kennt­nis­stand habe die Expertin "im Rahmen des Konto­ident-Verfah­rens zwischen Bonify und Boni­versum eine Lücke entdeckt, die ausge­nutzt werden konnte, um eine eigene Adresse mit einer fremden auszu­tau­schen." Eine Abfrage des Schufa-Scores sei damit nicht möglich gewesen. "Schufa-Daten sind zu keiner Zeit von dem Vorfall betroffen gewesen."

Vollen Daten­satz veröf­fent­licht

Die umfas­sende Schufa-Bewer­tung ist für Verbrau­che­rinnen und Verbrau­cher wichtig. Banken, Versand­händler, Mobil­funk­unter­nehmen oder Ener­gie­ver­sorger erkun­digen sich bei privaten Auskunf­teien wie der Schufa nach der Kredit­wür­dig­keit ihrer Kund­schaft.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen exter­nen Inhalt von X/Twitter, der den Artikel ergänzt und von der Redak­tion emp­fohlen wird. Sie können ihn sich mit einem Klick anzei­gen lassen und wieder aus­blenden.
Ich bin damit einver­standen, dass mir externe Inhalte ange­zeigt werden. Damit können personen­bezogene Daten an Dritt­plattformen übermittelt werden. Mehr dazu in unserer Daten­schutz­erklärung.
Kritik im Netz erntete Witt­mann für ihre Entschei­dung, ihre Mittei­lung über den Bonify-Hack mit Screen­shots des Boni­versum-Scores von Spahn zu illus­trieren, auf denen auch das Geburts­datum und die Adresse des ehema­ligen Bundes­gesund­heits­minis­ters zu sehen ist. "Privacy ist nicht so dein Ding, hm?", schrieb ein Twitter-Anwender. Witt­mann recht­fer­tigte sich, die Daten seien seit der Diskus­sion um den umstrit­tenen Kauf einer Villa durch Spahn ohnehin bekannt.

Die Berech­nungen der Schufa zur Kredit­wür­dig­keit von Verbrau­chern sind ein mäch­tiges Instru­ment. Nun will die Auskunftei für mehr Trans­parenz sorgen. Doch Kritiker befürchten, dass die Schufa noch mehr Daten sammeln will.

Mehr zum Thema Schufa