Die Hackergruppe Disrupt offenbart eine Sicherheitslücke in der Shova Bonafai-Anwendung.
Ein Hacker hat eine Sicherheitslücke in der Bonafai-App der Choufa-Stiftung entdeckt, die Informationen über die Kreditwürdigkeit von Einzelpersonen bereitstellt.
Diese Sicherheitslücke ermöglicht es, Kreditwürdigkeitsbescheinigungen für Mietwohnungen ohne die erforderliche Genehmigung von Schufa abzurufen.
Die Sicherheitsforscherin Lilith Wittmann von der Hackergruppe Zerodium veröffentlichte auf Twitter und Mastodon Details zu der Sicherheitslücke. In einigen Fällen konnten Benutzer die Shova-Dienste über die App nicht erreichen.
Sicherheitslücke in der App Schoffa Bonifatius in Deutschland
Die Lücke wurde ausgenutzt, indem der Authentifizierungsprozess manipuliert wurde, sagte Wittmann:
„Nachdem Sie Ihre Daten mit dem Bankident-Verfahren überprüft haben, können Sie diese in einer Sekunde über die API aktualisieren.“
Als Ergebnis konnte der Hacker einen sogenannten „Bonificium Gradus“ erhalten, der mit der Kreditwürdigkeit für Mietwohnungen verbunden ist und an Einzelpersonen auf der Grundlage von Informationen über den Politiker Jens Spahn vergeben wird.
Bitte beachten Sie, dass diese Punktzahl nicht dasselbe ist wie die umfassende Schufa-Kreditwürdigkeitsbewertung, die auch Handyverträge, Kredite, Kreditkartenaktivität, Bankkonten und andere Daten verfolgt.
Schufa ist eine Kreditauskunftei, die Daten von rund 68 Millionen Menschen enthält. Diese Daten werden häufig ohne Wissen der Betroffenen gesammelt. In der Regel muss eine Schufa-Auskunft bei Vertragsabschluss mit Banken, Mobilfunkanbietern oder Energieversorgern unterzeichnet werden.
Dadurch erhält Schufa die Erlaubnis, Informationen mit diesen Unternehmen zu teilen und dann eine Bewertung Ihres Zahlungsverhaltens und Ihrer Kreditwürdigkeit vorzunehmen, einschließlich Ihrer Zahlungsverpflichtungen und der Genauigkeit Ihrer Rechnungszahlungen. Die Schufa-Score wird mithilfe einer Algorithmus berechnet.
In Reaktion auf den Vorfall sagte Shova, dass die Sicherheitslücke mit dem Authentifizierungsprozess zwischen Bonifay und Bonifirum zusammenhängt und es ermöglicht, eine Benutzeradresse durch eine andere zu ersetzen. Sie erklärte, dass die Shova-Bewertung derzeit nicht abgerufen werden kann.
Auf der anderen Seite bestätigte Bonifay-Gründer Andreas Bermig, dass keine persönlichen oder finanziellen Daten von jungen Menschen oder anderen Personen gehackt oder übertragen wurden.
Er erklärte, dass die Note, die Lilith Wittmann veröffentlicht hatte, nur auf den Informationen basierte, die der Aktivist über den Politiker Jens Spahn eingegeben hatte.
Trotzdem wurde Wittman online kritisiert, weil sie sensible Daten über junge Männer veröffentlicht hat, wie zum Beispiel sein Geburtsdatum und seinen früheren Wohnort.
Frau Wittmann argumentierte, dass diese Daten bereits bekannt waren, basierend auf der Diskussion über den umstrittenen Kauf einer Villa durch junge Männer.
Sie können auch Artikel der AlmanyPedia auf Deutsch und Englisch über die folgenden Links lesen: AlmanyPedia EN – AlmanyPedia DE.
Sie können auch unsere kostenlose Benachrichtigungsdienste abonnieren, um die neuesten Nachrichten aus Deutschland täglich zu erhalten.
