Kredi derecelendirme kuruluşu Schufa kısa bir süre önce bir yan kuruluşa ait Bonify uygulamasının güncellenmiş bir sürümünü yayınladı; (ücretli) kiracı bilgileri de mümkündür. Şirket yayında, yeni hizmetle Schufa’nın şeffaflığı artırmak ve insanlara verileri üzerinde daha fazla kontrol vermek istediğini söyledi. Ancak bu beklendiği gibi olmadı: Görünüşe göre uygulamadaki bir güvenlik açığı, çok kısa bir süre için hizmetten herhangi bir verinin alınmasını mümkün kıldı. Bilgisayar korsanı ve aktivist Lilith Wittmann’ın Mastodon hesabında anlattığı ve gösterdiği şey bu.
Reklamcılık
Bir saniye için istekler için arayüz açık
Orada, uygulama API’sinde keşfettiği boşluk aracılığıyla herhangi bir kişi için kredi itibarı bilgilerinin elde edilebileceğini açıklıyor. Bu, Bankident prosedürü aracılığıyla yapılan doğrulamadan hemen sonra mümkündür – ancak yalnızca bir saniye için. Wittmann, bu süre zarfında verilerin API aracılığıyla güncellenebileceğini yazıyor. Örnek olarak, CDU politikacısı ve eski Federal Sağlık Bakanı Jens Spahn hakkında kiracı bilgilerini aldı ve ayrıca Mastodon’da ekran görüntülerini yayınladı.
Bonify uygulamasına kaydolmanın iki yolu vardır: biri IDNow sağlayıcısının tanımlama süreci (bir kimlik kartıyla) ve diğeri bir banka hesabına kaydolmak (Bonify’ın 90 günlük içgörüsü dahil). Wittmann tarafından açıklanan boşluğun tanımlama süreciyle sınırlı olup olmadığını göreceğiz. Kısıtlayıcı koşul (doğrulamanın tamamlanması) ve bir saniyelik kısa süre nedeniyle, güvenlik açığı aracılığıyla büyük miktarda verinin dinlenmesi olası değildir; ama dışlanmıyor. Wittmann, sorunu henüz Schufa’ya göstermediğini de yazıyor.
Şu anda Bonify hizmeti kapalı, web sitesi oturum açmaya çalışırken devam eden bakımı bildiriyor.
güncellemeler
07/23/2023
17:28
Saat
Talep üzerine, Schufa olayla ilgili olarak, mevcut bilgilere göre Wittmann’ın Bonify ile ilgili Creditreform Boniversum arasındaki hesap tanımlama sürecinde bir boşluk keşfettiğini bildirir. Bu, kişinin kendi adresini başka birinin adresiyle değiştirmesini mümkün kıldı. Adresin yasa dışı kullanımı Schufa puanını (kredi itibarı değeri) sorgulamak için kullanılamadığı için Schufa verileri olaydan etkilenmedi – Schufa güvenlik standartları bunu engelleyebilirdi.
Ayrıca Schufa, şu anda kendi güvenlik ve kalite standartlarını Bonify yan kuruluşuna devretmek için çalıştığını açıkladı. İlgili güvenlik analizlerinin bu yılın sonbaharına kadar tamamlanması gerekiyor.
Reklamcılık
(iki)
Haberin Sonu
Reklamcılık
Bir saniye için istekler için arayüz açık
Orada, uygulama API’sinde keşfettiği boşluk aracılığıyla herhangi bir kişi için kredi itibarı bilgilerinin elde edilebileceğini açıklıyor. Bu, Bankident prosedürü aracılığıyla yapılan doğrulamadan hemen sonra mümkündür – ancak yalnızca bir saniye için. Wittmann, bu süre zarfında verilerin API aracılığıyla güncellenebileceğini yazıyor. Örnek olarak, CDU politikacısı ve eski Federal Sağlık Bakanı Jens Spahn hakkında kiracı bilgilerini aldı ve ayrıca Mastodon’da ekran görüntülerini yayınladı.
Bonify uygulamasına kaydolmanın iki yolu vardır: biri IDNow sağlayıcısının tanımlama süreci (bir kimlik kartıyla) ve diğeri bir banka hesabına kaydolmak (Bonify’ın 90 günlük içgörüsü dahil). Wittmann tarafından açıklanan boşluğun tanımlama süreciyle sınırlı olup olmadığını göreceğiz. Kısıtlayıcı koşul (doğrulamanın tamamlanması) ve bir saniyelik kısa süre nedeniyle, güvenlik açığı aracılığıyla büyük miktarda verinin dinlenmesi olası değildir; ama dışlanmıyor. Wittmann, sorunu henüz Schufa’ya göstermediğini de yazıyor.
Şu anda Bonify hizmeti kapalı, web sitesi oturum açmaya çalışırken devam eden bakımı bildiriyor.
güncellemeler
07/23/2023
17:28
Saat
Talep üzerine, Schufa olayla ilgili olarak, mevcut bilgilere göre Wittmann’ın Bonify ile ilgili Creditreform Boniversum arasındaki hesap tanımlama sürecinde bir boşluk keşfettiğini bildirir. Bu, kişinin kendi adresini başka birinin adresiyle değiştirmesini mümkün kıldı. Adresin yasa dışı kullanımı Schufa puanını (kredi itibarı değeri) sorgulamak için kullanılamadığı için Schufa verileri olaydan etkilenmedi – Schufa güvenlik standartları bunu engelleyebilirdi.
Ayrıca Schufa, şu anda kendi güvenlik ve kalite standartlarını Bonify yan kuruluşuna devretmek için çalıştığını açıkladı. İlgili güvenlik analizlerinin bu yılın sonbaharına kadar tamamlanması gerekiyor.
Reklamcılık
(iki)
Haberin Sonu