Sicherheitslücke, Datenleck? Bei bonify?
Das wichtigste vorab: zu keinem Zeitpunkt bestand Zugriff durch unberechtigte Dritte auf bonify Nutzerkonten noch auf Systeme und Daten von bonify. Die Daten von Nutzern von bonify waren nicht in Gefahr… Es gibt kein Datenleck!
Wir stehen nach dem Einstieg der SCHUFA ganz offensichtlich unter extrem kritischer Beobachtung der Medien, Angreifern, der Hacker-Szene und anderen Interessensgruppen. Das ist auf der einen Seite äußerst schmerzlich für uns, wenn tatsächliche – oder vermeintliche – Schwachstellen entdeckt werden, auf der anderen Seite können wir so lernen und zeitnah reagieren. Sobald wir in Kenntnis gelangen, dass Produkte, Inhalte oder Dienstleistungen, die wir auf unseren Seiten anbieten, nicht unseren Qualitätsstandards entsprechen, handeln wir sofort.
Was ist genau passiert?
Am Samstag, 22. Juli gegen 19 Uhr wurden wir über die Veröffentlichung einer Mieterauskunft informiert, die eine Aktivistin unter verschiedenen Namen, u. a. von Jens Spahn, generiert haben soll.
Darüber hatte sie auf Twitter gegen 16 Uhr informiert. Wir haben das Vorgehen umgehend reproduziert, dabei mussten wir feststellen, dass die Hackerin mit einem speziellen Programm die Anmeldeprozedur beim Kontoident-Verfahren so manipuliert hat, dass es eine Möglichkeit zur Veränderung von Namen und Adresse gab.
Die Mietauskunft weist in allen Fällen die Mietzahlungen des Kontos aus, mit dem sich die Aktivistin Wittmann identifiziert hat und nicht die Mietzahlungen der verwendeten Identitäten.
Während Boniversum auf Basis der manipulierten Daten einen Score ausgeliefert hat, hat zu keinem Zeitpunkt eine Übermittlung von Daten der SCHUFA an bonify stattgefunden. Denn die SCHUFA verwendet andere Sicherheitsstandards.
Wie haben wir reagiert?
Wir haben sofort Maßnahmen ergriffen und die Anmeldung zur Identifizierung überarbeitet. Dadurch ist der gesamte Prozess weniger barrierefrei, jedoch ist damit die Fehlerquelle bereits seit Samstag gegen 22 Uhr beseitigt. Eine Manipulation von Adressangaben im Rahmen des Identifikations- und Anmeldevorgangs ist nach derzeitigem Kenntnisstand nicht mehr möglich.
Am Sonntag gab es weitere Manipulationsversuche. Diese sind gescheitert. Dennoch, haben wir den Service gestoppt und unterziehen nun alles einer erweiterten, genauen Prüfung.
Darüber hinaus ist vorsorglich bereits am Samstag auf Veranlassung der SCHUFA gegen 22.15 Uhr der Datenaustausch zwischen der SCHUFA und bonify gestoppt worden. Am Sonntag gegen 12 Uhr auch der zwischen Boniversum und bonify. Wir haben am Sonntag auch den Landesbeauftragten für Datenschutz in Berlin sowie die BaFin informiert.
Welche Daten wurden geteilt?
Eine Mieterauskunft wie auch ein Boniversum-Score wurden auf Twitter geteilt, zu “fremden” Personen, nicht zu der identifizierten Person. Allerdings auch nicht zu der Person, dessen Name in den Screenshots zu lesen ist.
Mit den von der Hackerin eingegebenen Daten wurde ein Score erstellt, der ausschließlich auf der Adresse, dem Geburtsdatum und dem Geschlecht einer Person basierte. Dabei wäre dieser Score selbst zu nicht existierenden Personen ausgeliefert worden. Die veröffentlichten Mietinformationen stammen aus dem von der Aktivistin genutzten Bankkonto. Nutzerdaten von Dritten waren nicht betroffen!
Wir wissen jetzt, wie hoch die Miete der Person ist, welche die Aktivistinzur Anmeldung und Identifizierung genutzt hat. Außerdem hat sie Adressdaten gesucht und somit auch geteilt, von bonify-Nutzern kommen diese Daten nicht.
Sind Deine persönlichen oder finanziellen Daten betroffen?
Nein. Es gibt kein “ Datenleck” bei bonify. Zu keiner Zeit wurden persönliche oder finanzielle Daten von einem Nutzer gehackt oder geteilt. Auch nicht die von Herrn Spahn (auch wenn er hoffentlich bonify Nutzer ist).
Wann und wie kommt bonify zurück?
Ab sofort könnt ihr wieder die Web-App von bonify unter my.bonify.de im Browser auf dem Computer oder auf mobilen Endgeräten nutzen. Zur Verfügung stehen der digitale, kostenlose Einblick in den SCHUFA-Basisscore, die Mieterauskunft mit SCHUFA-BonitätsCheck und bonify IdentProtect. bonify FinFitness und der bonify-Finanzmanager folgen in den kommenden Tagen.
Unsere App für Android und iPhone werden wir etwas später wieder für euch anbieten.
Nach dem Re-Start werden aktuell letzte Systemabstimmungen vorgenommen, sodass es in den kommenden Tagen beim Anmeldeprozess noch zu Verzögerungen und Re-Identifizierungen kommen kann.
Weitere Informationen:
Im Rahmen der Übernahme bonifys durch die SCHUFA werden derzeit sämtliche Produkte und Dienstleistungen von bonify strengen Sicherheitsanalysen unterzogen. Hier profitieren wir von der Expertise – und auch von den hohen Sicherheitsansprüchen – der SCHUFA. Wir gehen davon aus, dass diese Überprüfungen bis zum Ende des Herbstes abgeschlossen sind.