2023-07-24 16:22:37
violation de la sécurité
Informations sur le locataire Schufa disponibles sous le nom de quelqu’un d’autre
Il y avait une grave faille de sécurité dans l’application Bonify de Schufa. photo
© Peter Kneffel/dpa
Avec une nouvelle application, Schufa veut faciliter l’accès des consommateurs aux informations personnelles. Maintenant, cependant, il y avait un problème de sécurité flagrant.
Dans l’application Bonify présentée par Schufa pour afficher votre propre solvabilité, il y a un sérieux problème vulnérabilité béante. Les certificats de solvabilité de location non autorisés pourraient être récupérés via l’application de la filiale de Schufa, Bonify. C’est ce qui ressort des publications de la chercheuse en sécurité Lilith Wittmann du collectif de hackers “Zerforschung” sur Twitter et Mastodon.Lundi après-midi, le service Schufa n’était pas joignable via l’application. Le “Süddeutsche Zeitung” a d’abord rendu compte de l’incident.
Wittmann avait exploité une vulnérabilité dans la vérification d’identité. “Parce qu’après avoir vérifié vos données à l’aide de la procédure Bankident, vous pouvez les mettre à jour pendant environ une seconde via une interface de programmation”, a écrit Wittmann sur Mastodon. De cette façon, l’activiste hacker avait le soi-disant score Boniversum délivré par le politicien CDU Jens Spahn. Le score Boniversum correspond à l’attestation de solvabilité locative. Il ne s’agit pas de la cote de crédit plus large de Schufa, qui suit également les contrats de téléphonie cellulaire, les prêts, l’activité des cartes de crédit, les comptes bancaires et d’autres données.
Interrogé, Schufa a déclaré que selon l’état actuel des connaissances, l’expert avait “découvert une lacune dans le processus d’identification de compte entre Bonify et Boniversum qui pourrait être exploitée pour échanger sa propre adresse avec une adresse étrangère”. Il n’a pas été possible d’interroger le score de Schufa. “Les données de Schufa n’ont jamais été affectées par l’incident.”
La note Schufa complète est importante pour les consommateurs. Les banques, les entreprises de vente par correspondance, les entreprises de téléphonie mobile ou les fournisseurs d’énergie se renseignent sur la solvabilité de leurs clients auprès d’agences de crédit privées telles que Schufa.
Wittmann a été critiquée en ligne pour sa décision d’illustrer son message sur le piratage Bonify avec des captures d’écran du score Boniversum de Spahn, qui montre également la date de naissance et l’adresse de l’ancien ministre fédéral de la Santé. “La vie privée n’est pas votre truc, hein ?”, a écrit un utilisateur de Twitter. Wittmann s’est justifié en disant que les données étaient de toute façon connues depuis la discussion sur l’achat controversé d’une villa par Spahn.
#Faille #sécurité #les #informations #sur #les #locataires #Schufa #peuvent #être #consultées #sous #nom #quelquun #dautre
1690238269
