Информация об арендаторе Schufa, которую можно получить под именем другого лица
В приложении Bonify, представленном компанией Schufa для просмотра кредитоспособности, была обнаружена серьезная брешь в системе безопасности. Через приложение дочерней компании Schufa – Bonify – можно было получить несанкционированные справки о кредитах на аренду жилья. Об этом стало известно из публикаций исследователя безопасности Лилит Виттманн из хакерской группы «Zerforschung» в Twitter и на сайте Mastodon. В понедельник днем в сервис Schufa нельзя было попасть через приложение. Впервые об инциденте сообщила газета Süddeutsche Zeitung.
Виттманн воспользовался уязвимостью в процессе верификации личности. «Поскольку после верификации данных через процедуру Bankident вы можете обновить их в течение примерно одной секунды через программный интерфейс», – написал Виттманн на сайте Mastodon. Таким образом, хакерская активистка получила так называемый Boniversum score политика ХДС Йенса Шпана. Балл Boniversum соответствует кредитному сертификату на аренду жилья. Он не является более полным кредитным рейтингом Schufa, в котором также учитываются контракты на мобильную связь, кредиты, действия с кредитными картами, банковские счета и другие данные.
В ответ на запрос Schufa сообщила, что, по имеющейся информации, эксперт «обнаружил пробел в процедуре идентификации счета между Bonify и Boniversum, который может быть использован для замены собственного адреса на иностранный». Таким образом, запрос показателей Schufa оказался невозможен. «Данные Schufa не были затронуты инцидентом ни в какой момент времени».
Комплексная оценка Schufa имеет важное значение для потребителей. Банки, почтовые компании, компании мобильной связи или поставщики электроэнергии запрашивают кредитоспособность своих клиентов у частных кредитных агентств, таких как Schufa.
Виттманн подверглась критике в Интернете за то, что решила проиллюстрировать свое сообщение о взломе Bonify скриншотами рейтинга Шпана в Boniversum, на которых также видны дата рождения и адрес бывшего федерального министра здравоохранения. «Приватность – не ваш конек, да?» – написал один из пользователей Twitter (приватность = защита данных). Виттманн оправдался, заявив, что эти данные и так были известны после обсуждения спорной покупки Спаном виллы.