Erneut gibt ein Anbieter für Bonitätsauskünfte unfreiwillig höchst sensible Daten preis. Wie die Hackerin Lilith Wittmann mittels eines prominenten Opfers zeigte, lässt sich "it's my data" Informationen über die Zahlungsmoral prominenter Politiker entlocken, aber auch beliebiger anderer Personen. Ursache: Ein ungenügend abgesicherter API-Aufruf.
Anzeige
Auskunfteien wie die Schufa oder Infoscore geben Einschätzungen über die Kreditwürdigkeit möglicher Vertragspartner ab – nicht nur Banken und Unternehmen, sondern auch Vermieter fordern diese Informationen routinemäßig an. Das Start-up "it's my data" macht aus diesem Umstand gleich mehrere Produkte wie einen "Bonitätspass" und eine "Mietermappe" zur Vorlage beim Vermieter.
Die itsmydata-Produkte seien von Maklern empfohlen, 100 Prozent DSGVO-konform und zertifiziert für digitale Transparenz, so die Eigenwerbung des Unternehmens. Doch Hackerin Wittmann stellte mehr Transparenz her als vom Anbieter beabsichtigt. Nachdem sie ein Konto bei itsmydata angelegt hatte, konnte sie mithilfe eines ungeschützten API-Calls ihre eigenen Daten wie Name und Meldeadresse ändern und durch die einer fremden Person ersetzen. Deren Bonitätsauskunft erhielt sie dann im praktischen PDF-Format. Laut Wittmann lässt sich dieses Vorgehen mehrfach wiederholen.
Derlei Lücken sind für die Berlinerin nichts Neues: Bereits vor gut einem Jahr hatte Wittmann sich die App "Bonify", eine Schufa-Tochter, vorgenommen und ebenfalls Bonitätsdaten eines Prominenten abgerufen. Die Kreditwürdigkeit des Ex-CDU-Gesundheitsministers habe sich immerhin ein wenig verbessert, bemerkte Wittmann belustigt in den sozialen Netzwerken.
Anzeige
Eine Bitte um Stellungnahme durch die heise-Redaktion blieb bis zum Vormittag des 14. November unbeantwortet, auch gegenüber anderen Medien hatte der Betreiber sich nicht geäußert. Es ist zudem unklar, wie viele persönliche Daten abgeflossen sind, denn die Sicherheitslücke ist ohne technischen Aufwand von jedem Inhaber eines Kontos bei "it's my data" ausnutzbar.
Das API von it's my data identifiziert sich als Teekanne.
(Bild: heise security)
Mittlerweile hat der Betreiber immerhin die Anmeldung zu seinem Dienst geschlossen oder diese ist überlastet: Anmeldeversuche beantwortet das API des Dienstes mit dem HTTP-Statuscode 418: "I'm a teapot".
(
Kommentare