Die Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv "Zerforschung" berichtete unter anderem auf Twitter, die App der Schufa-Tochtergesellschaft Bonify geknackt zu haben.

Nach der Verifizierung der Daten über das Bankident-Verfahren konnten diese Daten über eine Programmierschnittstelle für etwa eine Sekunde aktualisiert werden. Auf diese Weise erhielt die Hacker-Aktivistin den sogenannten Boniversum-Score des CDU-Politikers Jens Spahn.

Der Boniversum-Score entspricht einer Mietbonitätsbescheinigung und ist nicht mit dem umfassenderen Kredit-Score der Schufa vergleichbar, der auch Handy-Verträge, Kredite, Kreditkartenaktivitäten, Bankkonten und andere Daten erfasst.

Die Schufa erklärte auf Medienanfrage, dass die Expertin im Rahmen des Kontoident-Verfahrens zwischen Bonify und Boniversum eine Lücke entdeckt habe, durch die es möglich war, eine eigene Adresse mit einer fremden auszutauschen.

Eine Abfrage des Schufa-Scores sei dadurch nicht möglich gewesen. Die Schufa-Daten waren zu keiner Zeit von dem Vorfall betroffen, versicherte die Schufa.

Die umfassende Schufa-Bewertung ist für Verbraucher wichtig, da Banken, Versandhändler, Mobilfunkunternehmen und Energieversorger die Kreditwürdigkeit ihrer Kunden bei privaten Auskunfteien wie der Schufa erfragen.

Kritik erntete Wittmann im Netz für ihre Entscheidung, die Mitteilung über den Bonify-Hack mit Screenshots des Boniversum-Scores von Spahn zu illustrieren, auf denen auch sein Geburtsdatum und seine Adresse zu sehen sind. Wittmann rechtfertigte sich, dass diese Daten seit der Diskussion um den umstrittenen Kauf einer Villa durch Spahn ohnehin bekannt seien.

Mit der präsentierten Bonify-App will die Schufa für Transparenz sorgen und es Verbrauchern ermöglichen, die eigene Kreditwürdigkeit einzusehen. Jetzt ist bei Bonify eine schwerwiegende Sicherheitslücke aufgedeckt worden. Die Sicherheitsforscherin Lilith Wittmann aus dem Hacker-Kollektiv "Zerforschung" konnte über die App der Schufa-Tochtergesellschaft Bonify unberechtigt Mietbonitätsbescheinigungen abrufen, wie sie auf Twitter berichtete. Die Schufa-App war am 24. Juli 2023 nicht erreichbar. Wittmann soll laut Medienberichten eine Schwachstelle bei der Identitätsüberprüfung ausgenutzt haben. Mehrere tausend Verbraucher könnten von dem Datenleck betroffen sein.