Infoscore gehört zu den größten Auskunfteien in Deutschland. Die Bertelsmann-Tochter sammelt ausschließlich negative Einträge von fast acht Millionen Menschen in Deutschland. Über eine Lücke bei Smava waren diese Daten seit unbestimmter Zeit einfach abrufbar. Selbst simpelste Sicherheitsmaßnahmen fehlen.
7,8 Millionen negative Kredit-Scores frei abrufbar
Auskunfteien gehören zu den Unternehmen in Deutschland, die über die größte Anzahl an äußerst sensiblen Daten über die Bürgerinnen und Bürger hierzulande verfügen. Umso schlimmer ist es, dass mit Infoscore eine weitere Auskunftei die Daten zu 7,8 Millionen Deutschen nicht oder nur mangelhaft geschützt hatte.
Die Sicherheitsforscherin Lilith Wittmann hatte in einem LinkedIn-Post in leicht süffisanter Sprache geschrieben, dass sie die Negativ-Scores aller bei Infoscore hinterlegten Personen einfach und ohne große technische Hürden zu überwinden, abrufen konnte.
Sicherheitslücke bei Infoscore-Partner Smava „Scorekompass“
Der Abgriff der Daten ist nicht bei Infoscore selbst passiert, sondern bei der Partner-Plattform Smava. Schon seit 2015 kooperieren Infoscore und Smava und bieten mit dem sogenannten „Smava Score Kompass“ eine einfache Möglichkeit an, eine kostenlose Bonitätsauskunft anzufragen.
Das Problem dabei war, dass der Anmeldeprozess bei Smava so schlecht geschützt war, dass es für jede Person einfach möglich war, die Kreditauskünfte von Fremden abzufragen. Lilith Wittmann erklärt dazu:
„Scorekompass“ erlaubte mir, dort bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte. Damit konnte ich den Identifizierungsprozess per Ausweis/Bankkonto überspringen und bekam direkt Zugriff auf den Score der Person.
Daraufhin programmierte Wittmann einfach eine Programmierschnittstelle, die es ihr erlaubte, die vorhandene Sicherheitslücke problemlos auszunutzen.
Schlechte Scores für Alte, Frauen und Wohnungslose
Durch Reverse Engineering konnte die Sicherheitsforscherin allerlei interessante Fakten über das Kredit-Scoring von Infoscore herausfinden.
So werden ältere Menschen pauschal schlechter bewertet als junge Menschen. Frauen erhalten grundsätzlich einen schlechteren Score als Männer. Und Wohnungslose oder Menschen, die bereits einmal im Gefängnis waren, haben per se einen sehr schlechten Bonitätscore.
Infoscore wiegelt Vorwürfe ab
Die Unternehmenskommunikation von Infoscore spielt das Problem derweil herunter. Zwar wisse man von mutmaßlichen IT-Sicherheitsvorfällen bei zwei Partnerunternehmen. Die eigenen Systeme seien allerdings nicht gefährdet und beeinträchtigt.
Diese Aussagen unterstreichen leider, dass sich zahlreiche Auskunfteien in Deutschland ihrer großen Verantwortung gegenüber den bewerteten Menschen nicht bewusst sind.
Auch interessant:
