Fuga di dati dall’app Bonify di Schufa: hacker pubblica i dati di Jens Spahn
Un’allarmante vulnerabilità nella sicurezza dell’app Bonify, collegata a Schufa, è emersa lunedì, con la pubblicazione non autorizzata del punteggio di affidabilità creditizia del politico della CDU ed ex ministro della sanità Jens Spahn. La notizia è stata diffusa dalla ricercatrice di sicurezza Lilith Wittmann, membro del collettivo di hacker “Zerforschung”, attraverso i suoi account Twitter e Mastodon. Wittmann ha in realtà ottenuto e pubblicato i dati di Spahn proprio per dimostrare che l’app non tutela sufficientemente la privacy degli utenti. Uno dei primi quotidiani a riportare la notizia è stata la Süddeutsche Zeitung.
Bonify: la falla di sicurezza permette di ottenere dati di altri utenti
Wittmann è riuscita a sfruttare una falla nel processo di verifica dell’identità presente nell’app Bonify. Questa falla consentiva di aggiornare i dati verificati tramite la procedura di identificazione per un breve lasso di tempo, utilizzando un’interfaccia di programmazione.
Grazie a questo difetto della piattaforma, la ricercatrice è riuscita ad ottenere il punteggio Boniversum di Jens Spahn. Tale punteggio è quello che definisce l’affidabilità creditizia, per esempio, quando si tratta di sottoscrivere contratti d’affitto. Tuttavia, va sottolineato che il punteggio Boniversum non rappresenta la valutazione completa di Schufa, la quale registra una vasta gamma di informazioni, tra cui contratti di telefonia mobile, prestiti, attività di carte di credito, conti bancari e altro. Gli altri dati Schufa non sono stati interessati dalla fuga di dati.
Schufa, che ha presentato l’app Bonify come sistema per gli utenti per accedere alle valutazioni creditizie, ha dichiarato che la vulnerabilità riscontrata riguardava esclusivamente la procedura di identificazione del conto tra Bonify e Boniversum, consentendo lo scambio di dati personali tra utenti.
La valutazione completa di Schufa riveste un’importanza fondamentale per i consumatori tedeschi, poiché banche, aziende di vendita per corrispondenza, società di telefonia mobile e fornitori di energia si affidano a queste informazioni per valutare la solvibilità dei loro clienti. In diversi momenti, sono stati avanzati dubbi sulla legittimità di tale sistema e sulla sua aderenza alle norme europee sulla privacy.
Leggi anche:
Germania: la Schufa potrebbe essere illegale secondo il diritto europeo
Wittmann ha ricevuto anche pesanti critiche per la decisione di rendere pubbliche le schermate del punteggio Boniversum di Jens Spahn, dal momento che nei dati erano compresi anche la data di nascita e l’indirizzo dell’ex ministro, costituendo quindi una violazione della sua privacy individuale. Wittmann si è giustificata dicendo che i dati erano comunque noti, poiché in passato si era dibattuto pubblicamente del controverso acquisto di una villa da parte di Spahn.
P.S. Se questo articolo ti è piaciuto, segui Il Mitte su Facebook!