Test Test

Jens Spahns Credit Score ist sehr gut.

Zivilgesellschaftliche Sicherheitsforschung als Methode der direkten Aktion.

Vorgeschichte

🧚🏼‍♀️

Es war einmal eine große alte Kreditauskunftei…

🧚🏼‍♀️

… die hatte viele große Probleme. Denn die Menschen vertrauten ihr nicht…

🧚🏼‍♀️

… viele Menschen hatten sogar Angst vor ihr. Denn die Bewertung der Schufa kann ihr Leben kaputtmachen…

🧚🏼‍♀️

… und ein Gutachter des EuGH sagte ihr sogar, dass ihr Geschäftsmodell illegal ist.

🧚🏼‍♀️

Da wurde die Schufa traurig.

🧚🏼‍♀️

Und wenn man traurig ist, dann geht man shoppen…

🧚🏼‍♀️

Wenn die Schufa Frustshoppen geht, dann kauft sie Startups.

🧚🏼‍♀️

Ein junges, hippes, Startup, mit einem tollen Geschäftsmodell*, das Menschen "hilft". Dem wird vertraut.

🧚🏼‍♀️

*) das Geschäftsmodell

👩🏽‍💻 🏢

🏦📀➡️

👨🏼‍💼"Dir gibt niemand einen Kredit"

👴🏻 "Du musst mehr sparen"

🎲

🦘"Brauchst Du zufällig einen Kredit, vielleicht ohne Schufa?"

💸

Wird von allen Banken benutzt.

Wird von ein paar Onlineshops benutzt.

Bekommt Daten von ~~niemanden~~ Onlineshops.

Bekommt Daten von Banken.

Befreien Daten aus Registern wie dem Insolvenzregister.

Würfelt eure Kreditwürdigkeit auf Basis eures Wohnorts.

Würfelt eure Kreditwürdigkeit auf Basis der Anzahl eurer Konten, Umzügen, Krediten…

249 Millionen Euro

575 Millionen Euro

Gegendarstellung

Vor 7,5 Jahren - im April 2016 - waren Boniversum und bonify zu einer Revolution bereit. Wir wollten gemeinsam beim Thema Bonität für mehr Transparenz sorgen. Ohne Boniversum gäbe es bonify so nicht!

Uns ist wichtig, Folgendes klarzustellen: Der Boniversum-Score ist einer der führenden Scores im Markt. Er basiert auf über 160 Millionen Datenpunkten für über 60 Millionen Menschen in Deutschland. Scores von verschiedenen Auskunfteien unterscheiden sich unter anderem durch die Datenquellen, die Anzahl der Daten, die Einflussfaktoren, die Scoremodelle sowie den Einsatzbereich. So hat z. B. der Boniversum-Score eine hohe Relevanz im E-Commerce.

*) das Geschäftsmodell

👩🏽‍💻 🏢

🏦📀➡️

👨🏼‍💼"Dir gibt niemand einen Kredit"

👴🏻 "Du musst mehr sparen"

🎲

🦘"Brauchst Du zufällig einen Kredit, vielleicht ohne Schufa?"

💸

Erweiterung des Geschäftsmodelles

👩🏽‍💻

⬅️🏦📀

👨🏼‍💼"Dir gibt niemand einen Kredit. Außer Du gibst uns Zugriff auf Dein Konto"

Die Bonify AGB

Im Rahmen der Verarbeitung und Bereitstellung von Transaktionen und Transaktionshistorien kann es vorkommen, dass besondere Kategorien personenbezogener Daten von Ihnen durch uns verarbeitet werden. Bei besonderen Kategorien personenbezogener Daten handelt es sich um Daten, die Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit sowie Sexualleben enthalten können. Derartige Angaben können beispielsweise im Zusammenhang mit von Ihnen getätigten Überweisungen an Parteien, Gewerkschaften oder bestimmte Vereine im Verwendungszweck erscheinen. Forteil nutzt diese Angaben ausschließlich im Rahmen der Abbildung der Transaktionshistorie. Alle Daten werden unter höchsten Sicherheitsstandards verarbeitet.

Toll und wie verdienen die Geld?

Die Schufa ist aber auch ein Sparfuchs.

🧚🏼‍♀️

erlebnisorientierte Hackerin wacht nach einer harten Woche im Kapitalismus im verregneten Berlin auf.

Oh ein Bankident Prozess. Das wird lustig.

– ~~niemand~~ mein Kopf

bonify

finleap connect GmbH

Bank

iframe

➡️

API Login

➡️

Name/IBAN

Transaktionen

⬅️

def verify_name(form, bank):
  if (form.first_name in bank.first_name \
    or bank.first_name in form.first_name):
    return True
    
  return False

Redirect (JWT)

⬅️

Karl-Theodor Maria Nikolaus Johann Jacob Philipp Franz Joseph Sylvester Buhl-Freiherr von und zu Guttenberg

POST /user-management-prod/user

{
    "dateOfBirth": "1995-09-26T00:00:00.000Z",
    "gender": "FEMALE",
    "mobileNumber": null,
    "addresses": [
        {
            "city": "xxx",
            "houseNumber": "x",
            "street": "xxx",
            "zipCode": xxxxx
        }
    ],
}

{

    "firstName": "Lilith",
    "lastName": "Wittmann"
}

POST /user-management-prod/user

{

    "firstName": "Jens",
    "lastName": "Spahn",
    "dateOfBirth": "1980-05-16T00:00:00.000Z",
    "gender": "MALE",
    "mobileNumber": null,
    "addresses": [
        {
            "city": "Berlin",
            "houseNumber": "38",
            "street": "Auf dem Grat",
            "zipCode": 14195
        }
    ],
}

🤔

Warum hatte ich nur Zugriff auf den Boniversum Score?

Es wird angemerkt, dass wir unseren eigenen AGB widersprechen, indem vor Zustimmung ein Score übermittelt wird. Das stimmt nicht. Der Score wird erst nach expliziter Einwilligung übermittelt. Vorab erfolgt ein Datenaustausch zur Identifikation. Dieser ist in bonify’s Datenschutzerklärung aufgeführt. Er beschränkt sich ausschließlich auf Daten zur Identifizierung. Um sicher zu sein, dass der Score nur an die Person ausgespielt wird, zu der er gehört. Dadurch wurden die manipulierten Personendaten bei uns erkannt.

– bonify

Forteil nutzt den SCHUFA-IdentitätsCheck (Premium) sowie den SCHUFA-KontonummernCheck Plus IBAN. […] Der Datenaustausch mit der SCHUFA dient auch der Identitätsprüfung. Die Forteil GmbH kann beim SCHUFA-IdentitätsCheck anhand der von der SCHUFA übermittelten Übereinstimmungsraten erkennen, ob eine Person unter der vom Nutzer angegebenen Anschrift im Datenbestand der SCHUFA gespeichert ist. Beim SCHUFA-IdentitätsCheck (Premium) kann Forteil anhand der von der SCHUFA übermittelten Übereinstimmungsraten und ggfs. Anhand eines Hinweises auf eine zurückliegend bei der SCHUFA oder einem anderen Geschäftspartner durchgeführte ausweisgestützte Legitimationsprüfung erkennen, ob eine Person unter der vom Nutzer angegebenen Anschrift im Datenbestand der SCHUFA gespeichert ist. Beim SCHUFA-KontonummernCheck plus IBAN dient der Datenaustausch mit der SCHUFA der Überprüfung der vom Nutzer getätigten Eigenangaben.

Responsible Disclosure

Shitposten

Warum ich zivilgesellschaftliche Sicherheitsforschung betreibe:

Um die Daten von Privatpersonen zu schützen.
Um Unternehmen mit einem schlechten Geschäftsmodell das Leben schwerer zu machen.
Um schlechte Ideen auf einer politischen Ebene zu verhindern.
Um den Staat um öffentliche Daten zu erleichtern.
Zur Belustigung meiner Freunde.
Spaß am Gerät.

Keine Gründe warum ich das mache:

Um Unternehmen dabei zu helfen, sicherer zu werden.
Um damit Geld zu verdienen.

Responsible Disclosure

Shitposten

Was wäre passiert?

Applikation bleibt online.
Lücke wird zügig geschlossen.
Gut vorbereitete PR-Abteilung hätte Journalist*innen erklärt, dass zu keiner Zeit Kund*innen-Daten gefährdet waren und "Wir sind jetzt noch sicherer".

➡️ Keinerlei weiterer Reputationsverlust für die Schufa.

Was hätte passieren können?

Niemand bekommt irgendwas mit.
Schufa hat weiterhin voll den PR-Run.
Schufa hätte das Responsible Disclosure ausgenutzt um ihre Postion zu stärken.

➡️ Ich hätte mein wertvolles Wochenende verschwendet.

Habe ich beim Hacken eine Straftat begangen?

Nein, ich habe nur öffentlich zugängliche APIs benutzt. Laut CDU ./. Wittmann ist das kein hacken.

Shitposten

Was hätte passieren können?

Leute hätten Boniversum-Asukünfte für andere Menschen abrufen können. (Und dabei ihren Ausweis dagelassen)
Vermieter könnten mit gefälschten Kreditauskünften betrogen werden.
Leute hätten weitere Sicherheitslücken finden können.

➡️ Eine Lücke mit Reputationsverlust für das Unternehmen aber ohne Schaden für einzelne Menschen.

Was ist passiert?

Schufa und Boniversum kappen medienwirksam die Datenverbindung zu Boniversum.
bonify geht für 2 Wochen komplett offline. Die Apps sind Stand heute weiterhin nicht im Appstore verfügbar.
Die Krisen-PR blamiert sich so gut sie es kann. Eine breite Zielgruppe weiß jetzt: Bonify ist wie die Schufa ein Scheißverein.

➡️ Immenser Reputationsverlust für die Schufa.

Eine Aktivistin hat im Rahmen der Anmeldeprozedur zum Konto-Ident Verfahren Namen und Adressdaten manipuliert. Dabei wurden Nutzerkonten unter anderem auf einen Politiker und zwei Journalisten angelegt. Einer dieser Redakteure hat in einem Beitrag der Süddeutschen Zeitung sogar bestätigt, dass die Hackerin für die Süddeutsche Zeitung und den NDR Namens und Adress-Manipulationen vorgenommen hat. („Lilith Wittmann konnte für NDR und Süddeutsche Zeitung in mehreren, unabhängigen Tests nachweisen, dass es in der App eine Art Einfallstor gibt, um an manipulierte Bonitätsauskünfte der Auskunftei Boniversum zu kommen“).

– bonify

Finde einen Unterschied

24.07

heute

Was wir nicht nachvollziehen können: Üblicherweise melden Angreifer ihre Erkenntnisse dem betroffenen Unternehmen, dessen Programm, Website oder App betroffen sind. Dies räumt dem Unternehmen eine angemessene Zeit ein, um die Lücke zu schließen. Bei uns war das nicht der Fall. Für uns besonders bitter: Das gemeinsame Entwicklungsteam von SCHUFA und bonify stand bereits seit einigen Wochen mit der Aktivistin in Kontakt, um sie für eine Mitarbeit zu gewinnen.

– bonify

Doch sagt mir, was passiert mit Frauen im Business, wenn sie nett sind?

– badmómzjay

Hallo Frau Wittmann, Mein Name ist ████ und ich arbeite für die Schufa. Ich stelle gerade ein Team zusammen, dass den kostenfreien, digitalen Zugriff auf eigene Daten bei Schufa umsetzt. Dabei soll beantwortet werden wie diese Daten verwendet werden und wie diese wirken - in Ausbaustufen auch wie diese beeinflusst, gelöscht und gesteuert werden können.

25. Mai auf Linkedin

Ich suche nach einem erfahrenen Team Lead für den Aufbau der dahinter liegenden Applikationen und technischen Infrastruktur, um super sensible, personenbezogene Daten sicher in eine App (iOS und Android) zu bekommen. […], hier bei der Schufa ist das Thema nochmal sensitiver und mit höherem Risiko eines Missbrauchs verbunden. Intern gibt es die notwendige Kompetenz nicht. Deswegen suche ich händeringend extern nach Hilfe - nicht der beste Firmenname dafür.

Aktuell hänge ich aber mit Team, Infrastruktur und Kompetenz weit hinter dem Plan. Nichts hilft (geplanter) Transparenz weniger als wenn wir den Aufbau vermasseln und am Ende die (überfällige) Umsetzung nicht ans Fliegen kommt - entweder wegen 1 Stern im App Store (schlecht umgesetzt / nicht verständlich) oder schlimmer - kein Vertrauen in Zugang und Integrität der darin enthaltenen Daten.