Was IT-Security-Experten den Schlaf raubt

Zürcher Steuer-App teilt sensible Kundendaten mit der ganzen Welt

Uhr
von Coen Kaat

Die App Steuern59 hat ein Problem: sämtliche Kundendaten waren in der AWS-Cloud frei einsehbar. Dahinter steckt die Zücher Steuerberatungsfirma Zürich Financial Solutions. Schuld soll aber ein indischer Dienstleister sein.

(Source: Coen Kaat)
(Source: Coen Kaat)

Jeder hat sein Smartphone fast immer zur Hand. Daher ist es naheliegend, dass immer mehr Dienste über das Handy erledigt werden. Lichter einschalten, Ofen vorwärmen oder auch die Steuererklärung ausfüllen.

 

Mobile Security steckt jedoch noch in den Kinderschuhen oder wird zuweilen ganz vergessen. Deutlich macht dies das jüngste Beispiel der Schweizer Steuerberatungsfirma Zürich Financial Solutions (Zufiso), wie Heise berichtet.

 

 

 

Zufiso bietet eine App an, mit der Nutzer für 59 Franken ihre Steuererklärung ausfüllen können. Diese nennt sich Steuern59 und ist für Android und iOS erhältlich. Wie der Sicherheitsforscher Secuninja entdeckte, speichert die App sensible Nutzerdaten in der AWS-Cloud. Jeder, der ein kostenloses AWS-Konto besitzt, konnte auf die Daten zugreifen. Alternativ kann man auch kostenlose Tools verwenden, welche die Amazon Cloud nach derartigen verwundbaren AWS-Buckets durchsucht.

 

Was genau fand der Sicherheitsforscher? Sämtliche in der App erhobenen Daten und alle mit dem Handy fotografierten Dokumente. Also die Steuererklärungen, die Steuerbescheide, Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden.

 

Passwörter und Fotos der Entwickler in der Cloud

Der Forscher fand zudem Chat-Verläufe der Kunden mit ihren Beratern und jede Menge Passwörter; die der Kundendaten im Klartext und die der Administratoren - diese waren immerhin als Hashwerte gespeichert (bcrypt).

 

Heise will auch wissen, dass die App von einem externen Dienstleister in Indien entwickelt wurde. Woher das Portal dies weiss? Der Sicherheitsforscher fand gemäss Bericht noch mehr im AWS-Cloud-Ordner von Zufiso: haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.

 

Wie Zufiso gegenüber Heise sagt, ist die Sicherheitslücke in der App bereits behoben. Die Dateien seien nicht länger öffentlich einsehbar. Allerdings machte der Steuerberater offenbar keine Anstalten, seine Kunden über das Datenleck zu informieren.

 

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/security tun. Der Blog wird laufend aktualisiert.

 

Trojaner, Ransomware und DDoS? Was war schon wieder was? Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Webcode
DPF8_107846