Zwar lautet das Motto der SCHUFA „wir schaffen Vertrauen“, sonderlich vertrauenswürdig erscheinen aber die fehlenden Sicherheitsmaßnahmen der Webseite nicht. Selbst Anfänger könnten mithilfe einer Local File Inclusion alle möglichen Inhalte der Seite auslesen. Wer würde schon gerne dabei zuschauen, wie seine Negativeinträge an Dritte geraten?
Die Schufa Holding AG (Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine privatwirtschaftlich organisierte deutsche Wirtschaftsauskunftei, die von kreditgebenden Unternehmen getragen wird und deren Datensätze täglich vielfach in Anspruch genommen werden. Wer beispielsweise bei einer Bank ein Konto eröffnen oder einen Kredit in Anspruch nehmen möchte, benötigt dafür eine Auskunft der SCHUFA, die alle Negativmerkmale wie Zwangsversteigerungen, eidesstattliche Versicherungen, Mahnungen und vieles mehr speichert und den Kreditgebern bei Bedarf ausliefert. Für die Weitergabe der Informationen ist die Zustimmung des Kreditnehmers vonnöten.
Im Falle eines Hacks erfährt der Kreditnehmer natürlich nichts von der Übermittlung seiner Daten. Von einer anonymen Quelle wurde uns mitgeteilt, dass die Webseite meineschufa.de nicht ausreichend gegen Hackerangriffe geschützt ist. Mit einem bestimmten Link ist es möglich, beliebige Daten vom SCHUFA Webserver herunterzuladen. Um diese Lücke aufzuspüren und ausnutzen bedarf es leider keiner besonderen Kenntnisse. Auch Anfänger können so relativ problemlos Zugriff auf die Daten nehmen. Uns wurde ein Proof of Concept übermittelt, den ein Hacker überprüft hat. Dieser bestätigte uns binnen weniger Minuten die Wirksamkeit der Lücke. Wir haben die Betreiber der Webseite über die Existenz der Schwachstelle informiert und hoffen auf eine baldige Schließung des kritischen Bugs.
Quelle:
www.gulli.com
