BERLIN (dpa-AFX) - In der von der Schufa vorgestellten Bonify-App zur Einsicht in die eigene Kreditwürdigkeit hat eine gravierende Sicherheitslücke geklafft. Über die App der Schufa-Tochtergesellschaft Bonify konnten unberechtigt Mietbonitätsbescheinigungen abgerufen werden. Das geht aus Veröffentlichungen der Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv "Zerforschung" auf Twitter und Mastodon hervor. Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen. Über den Vorfall hatte zuerst die "Süddeutsche Zeitung" berichtet.

Wittmann hatte eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt. "Denn nachdem ihr eure Daten über das Bankident-Verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren", schrieb Wittmann auf Mastodon. Auf diesem Weg ließ sich die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn ausstellen. Der Boniversum-Score entspricht der Mietbonitätsbescheinigung. Es handelt sich hier nicht um den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.