Bonität
Schwachstelle in Schufa-App: Bonify erlaubt Zugriff auf fremde Kredit-Scores
26.07.2023| Günther Ehrich
Die Schufa hat mit Bonify eine App vorgestellt, durch die Privatleute den eigenen Basisscore ermitteln können.
Eine Schwachstelle erlaubte jedoch den Zugang auf fremde Konten.
So konnte die IT-Sicherheitsexpertin Lilith Wittmann den Basisscore von Jens Spahn ermitteln.
Mit der App war es seit vergangener Woche machbar, dauernd und umsonst den persönlichen Basisscore zu ermitteln.
Je größer die Zahl, desto höher bewertet Schufa die individuelle Kreditrückzahlungsfähigkeit einer Person.
2023 sollten noch zusätzliche bei der Schufa vermerkte Fakten mit der App zu ermitteln sein.
Damit sollen Anwender verstehen können, wie sich ihr Score zusammensetzt.
Bonify wird von der Schufa-Tochter Forteil konstruiert.
Schufa-Daten wären nur über Bonify zu ermitteln, wenn der Anwender ausdrücklich zustimmt.
Kredit-Score von fremden Konten ermitteln
Von Beginn an hatte die App allerdings Schwierigkeiten, erklärt der Spiegel:
Anstelle des Schufa-Score wurde Anwendern immer wieder bloß ein Boniversum-Score bereitstellt, der aus anderer Datenherkunft als dem angepriesenen Schufa-Score stammt.
Lilith Wittmann bewies auf Mastodon und in einem Medium-Aufsatz, dass es ihr geglückt ist, nicht nur ihre persönlichen Daten kontrollieren zu können.
Dafür konnte sie zusätzlich Bonify-Daten von über 20 Leuten ermitteln.
Dabei ist auch Jens Spahn mit den Daten: potentielle Firmenbeteiligungen, Gerichts- und Inkassodaten, Privatadresse, Einzelheiten zu Basisscore und Zahlungserkenntnissen.
Der Zutritt ist über eine Schwachstelle im Bank-Ident-Verfahren erreichbar, welches Forteil benutzt, um Anwender zu bestätigen.
Generell geht das Abgleichen demnach über das persönliche Bankkonto.
Ehe das System die Angaben als echt bestätigt, existiert dennoch in einem Zeitabstand von ungefähr 1 Sekunde die Chance, den Namen zu modifizieren.
Das persönliche Bankkonto bestätigt unter diesen Umständen folglich einen fremden Zutritt.
Eine verfügbare Vorlage kann sie über ein Werkzeug an die Schnittstelle senden, berichtet Littmann dem Spiegel.
Es genügt folglich, früh genug einen Knopf zu betätigen, um Zutritt zu fremden Daten zu bekommen.
Fürs erste ist die Bonify-App offline.
Verbraucherschützer alarmieren vor Anmeldung mit Bankzutritt
Das könnte dich auch interessieren
- Eiliger Amazon-Alarm: Abzocker attackieren Millionen… 27. Juni 2024
- DHL-Alarm: Diese Nachricht gehört SOFORT in den SPAM-Ordner 27. Juni 2024
- Europäische Zentralbank (EZB) reduziert Zinsen um… 13. Juni 2024
- Abzockmasche entdeckt: Kunden von 2 Banken müssen… 8. Juni 2024
- Alarm vor Anruf-Betrug - Abzocke bis 1.000 Euro 1. Juni 2024
- Banken erhöhen weiter Preise für Girokonten 26. Mai 2024
- Schufa zeigt mehr Offenheit: Was belastet den Schufa… 19. Mai 2024
- Frist für Kabel-TV: Wie Anbieter jetzt probieren,… 10. Mai 2024
- BGH-Urteil: So holst du dir deine Kontogebühren zurück! 30. April 2024
- Hier die 5 idealsten Girokonten ohne monatliche… 10. April 2024
- Capital: C24 Bank hat die idealste Mobile-Banken-App 8. März 2024
- Verbraucherschützer alarmieren vor Abzockmasche mit… 15. Februar 2024