Startseite » Schwachstelle in Schufa-App: Bonify erlaubt Zugriff auf fremde Kredit-Scores

Bonität

Schwachstelle in Schufa-App: Bonify erlaubt Zugriff auf fremde Kredit-Scores

26.07.2023| Günther Ehrich

Schwachstelle in Schufa-App: Bonify erlaubt Zugriff auf fremde Kredit-ScoresDie Schufa hat mit Bonify eine App vorgestellt, durch die Privatleute den eigenen Basisscore ermitteln können. 

Eine Schwachstelle erlaubte jedoch den Zugang auf fremde Konten.

So konnte die IT-Sicherheitsexpertin Lilith Wittmann den Basisscore von Jens Spahn ermitteln.

Mit der App war es seit vergangener Woche machbar, dauernd und umsonst den persönlichen Basisscore zu ermitteln.

Je größer die Zahl, desto höher bewertet Schufa die individuelle Kreditrückzahlungsfähigkeit einer Person.

2023 sollten noch zusätzliche bei der Schufa vermerkte Fakten mit der App zu ermitteln sein. 

Damit sollen Anwender verstehen können, wie sich ihr Score zusammensetzt.

Bonify wird von der Schufa-Tochter Forteil konstruiert.

Schufa-Daten wären nur über Bonify zu ermitteln, wenn der Anwender ausdrücklich zustimmt.

Datenklau bei Postbank und der Deutschen Bank
Hacker klauen Daten von Verivox-Kundschaft

Kredit-Score von fremden Konten ermitteln

Von Beginn an hatte die App allerdings Schwierigkeiten, erklärt der Spiegel: 

Anstelle des Schufa-Score wurde Anwendern immer wieder bloß ein Boniversum-Score bereitstellt, der aus anderer Datenherkunft als dem angepriesenen Schufa-Score stammt.

Lilith Wittmann bewies auf Mastodon und in einem Medium-Aufsatz, dass es ihr geglückt ist, nicht nur ihre persönlichen Daten kontrollieren zu können.

Dafür konnte sie zusätzlich Bonify-Daten von über 20 Leuten ermitteln

Dabei ist auch Jens Spahn mit den Daten: potentielle Firmenbeteiligungen, Gerichts- und Inkassodaten, Privatadresse, Einzelheiten zu Basisscore und Zahlungserkenntnissen.

Der Zutritt ist über eine Schwachstelle im Bank-Ident-Verfahren erreichbar, welches Forteil benutzt, um Anwender zu bestätigen.

Generell geht das Abgleichen demnach über das persönliche Bankkonto.

Ehe das System die Angaben als echt bestätigt, existiert dennoch in einem Zeitabstand von ungefähr 1 Sekunde die Chance, den Namen zu modifizieren.

Das persönliche Bankkonto bestätigt unter diesen Umständen folglich einen fremden Zutritt. 

Eine verfügbare Vorlage kann sie über ein Werkzeug an die Schnittstelle senden, berichtet Littmann dem Spiegel.

Es genügt folglich, früh genug einen Knopf zu betätigen, um Zutritt zu fremden Daten zu bekommen. 

Fürs erste ist die Bonify-App offline.

Werbung*

Verbraucherschützer alarmieren vor Anmeldung mit Bankzutritt

Die App bleibt nach wie vor recht fragwürdig

So alarmiert die Verbraucherzentrale NRW entschieden vor den Angaben, die Anwender überlassen, wenn sie sich mittels des Kontozutritts anmelden.

Denn so erlaubst du permanent den Überblick in deine Kontobewegungen der vergangenen 90 Tage.

Datenklau
ChatGPT
Girokonto
Strom*
Gas*
DSL*
Handy*

Das könnte dich auch interessieren

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die wichtigsten Funktionen zum Datenschutz .......

Nach oben scrollen
Cookie Consent mit Real Cookie Banner