@ItsMyData: Wittmann ruft Bonitäten von Creditreform & Co. ab

Sicherheit (Pexels, allgemeine Nutzung)Fall von „Autsch“, aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian etc., einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen.

Was macht die Itsmydata GmbH?

Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal Mietern gegen „Geld und gut Worte“ das Erstellen einer „Mieter-Mappe“ ermöglicht. Mit dieser Mappe, die „Wohnungsunterlagen“ enthält, soll sich ein Mietinteressent gegenüber einem Vermieter bezüglich der Bonität ausweisen können.

ItsMyData GmbH

Das Webportal ermöglicht Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einzuholen und in der „Hausmappe“ bereitzustellen. Das Versprechen des Unternehmens: „Sicheres Datenkonto. Bei itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen.“

Ich konnte mir nicht verkneifen, die Werbung von itsmydata auf X.com per Screenshot zu dokumentieren.

@itsmydata-Werbung

Die versprechen „mir als Mieter“ also die Macht über meine Daten auf Basis der DSGVO zurück zu geben. Der informierte Zeitgenossen weiß „wo DSGVO drauf steht, ist oft was anderes drin“. Aber der Geschäftsführer von Haus & Grund jubelt, dass die itsmydata Mietermappe ein echter Vorteil für Mieter sei – ein großer Schritt in den digitalen Abgrund – vornehm als „digitale Vermietung“ betitelt. 

Wittmann: Frag doch mal nach

Lilith Wittmann hat dieses Angebot interessant gefunden – keine Ahnung, ob sie eine Wohnung sucht oder zu vermieten hat – dass sie das alles etwas genauer unter die Lupe genommen hat. Schnell ein Konto bei itsmydata erstellt und verifizieren lassen. Und schon konnte es losgehen – nicht mit der Mietermappe, sondern mit der Bonitätsauskunft von fremden Daten. 

Lieblings-Interessent von Wittmann ist unser Ex Gesundheitsminister Jens Spahn – keine Ahnung, warum sie einen Narren ihm gefressen hat. Aber im Juli 2023 hatte sie über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen.

Ich hatte dies im Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen hier im Blog aufgegriffen. Aber erinnerungsmäßig gibt es einen Film mit dem Titel „Mach’s noch mal Sam ...“, scheint Wittmann auch zu kennen.

Bonitätsauskunft Jens Spahn

Jedenfalls hat sie im Portal von itsmydata dann mal nach Jens Spahn gefragt – dessen Meldeadresse hat sie ja. DSGVO hin, DSGVO her, sowohl Creditreform/Boniversum als auch Experian haben dann die Daten herausgerückt (siehe obiger Screenshot von X oder auf Mastodon). Also Pustekuchen mit dem itsmydata-Versprechen „Du hast die Kontrolle über deine Daten“, denn ich kann mir nun nicht vorstellen, dass Herr Spahn zugestimmt hat, dass die Daten von Litlith Wittmann eingesehen werden können.

Sprich: Ein weiteres Beispiel, wo ein Portal ein Versprechen abgibt, das aber wegen Implementierungsproblemen nicht einhalten kann. Mit Hilfe der angezeigten Daten konnten auch die Zertifikate auf dieser Webseite überprüft werden.

Lilith Wittmann empfiehlt itsmydata das Portal abzuschalten. Ein Gutes hat die Sache – wir wissen jetzt, dass die Bonitätsdaten von „Jens Spahn“ besser geworden sind. Insgesamt ist das alles „nicht gut“ – und der oben bejubelte Schritt in Richtung digitale Vermietung ist ein weiterer Schritt in den digitalen Abgrund.

Ergänzung: Lilith Wittmann scheint noch nichts zu den Details veröffentlicht zu haben. Aber Golem hat hier noch einige Erläuterungen veröffentlicht. Wittmann hat keine Details zur Schwachstelle veröffentlicht, aber gegenüber Golem gab sie an, dass es im Grunde die gleiche Sicherheitslücke wie bei Bonify gewesen sei, die aber leichter ausnutzbar war. Da freuen wir uns doch auf die Digitalisierung. Und dem Open-Data-Ansatz sind wir ein Stückchen näher gerückt – „wir haben ja nix zu verbergen“.

Lilith Wittmann hat nun ein Video online gestellt (siehe z.B. auf Mastodon), in dem sie zeigt, wie sie per API die Parameter ändern kann, um auf Score-Werte beliebiger Personen zugreifen kann – benötigt werden nur Name und Adresse.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu @ItsMyData: Wittmann ruft Bonitäten von Creditreform & Co. ab

  1. M.D. sagt:

    Hmmmm, nach dem Aachener Urteil im ModernSolutions Fall *könnte* es jetzt teuer werden für die junge Dame. Vorausgesetzt itsmydata kennt das Urteil und handelt nach dem Motto ‚was die können, kriegen wir auch hin‘. In Punkto Datensicherheit liegen die beiden ja eh schon nah bei einander.

    Jens Spahn nimmt das wohl eher mit Humor. Eigentlich müsste der jetzt tätig werden, und hoffentlich dann auch in die richtige Richtung schießen.

    • Tomas Jakobs sagt:

      > … nach dem Aachener Urteil im ModernSolutions Fall *könnte* es jetzt teuer werden für die junge Dame.

      Völlig anderes methodisches und technisches Vorgehen, daher eher unwahrscheinlich.

      > Eigentlich müsste der jetzt tätig werden…

      Bitte nicht, er möge bitte weit weg von der Politik verschwinden, aber diesen Wunsch wird er uns nicht erfüllen.

      • M.D. sagt:

        | Völlig anderes methodisches und technisches Vorgehen, daher eher
        | unwahrscheinlich.

        Das Vorgehen war doch weitestgehend irrelevant. Der Täter hatte sich unberechtigter Weise Zugriff zu Daten verschafft und zu allem Übel auch noch Screenshots von Datensätzen erstellt. Auf Letzteres bezog sich doch das Urteil weitestgehend.

        Von daher sollte bzw. müsste es eher schlecht für Frau Wittmann ausgehen, wenn es denn zu einer Klage käme. Aber vor Gericht weiß man halt nie ..

  2. Anonymous sagt:

    Alle Daten, die irgendwo vorhanden sind, werden ausgelesen und missbraucht werden, meist unerwähnt und ohne öffentliche Wahrnehmung.

    Das betrifft sowohl solche Schufa-Daten als auch irgendwelche Apps auf dem Handy oder Tablet, Fitness-Tracker, Schlafqualität-Messgeräte, automatische Staubsauger & Rasenmäher, Solaranlagen und Windrädchen im Garten, Autosteuerung, Versicherungs-Apps, Gesundheitsakten, Banken-KI für Zuordnung Geldeingänge zu Kategorien, Supermarkt-Punkte- & Rabatt-Apps, gemietete e-Roller, Altersverifikationen am Zigarettenautomaten und irgendwo im Netz, online gekaufte Konzert-Tickets, Bahnfahrten, Flüge, Mietautos, jede bargeldlose Zahlung, jegliche Online Accounts für alles und jedes, jeder Aufruf Internetseite und so weiter…

    Will nur keiner wissen.

    • Günter Born sagt:

      Was glaubst Du, wie ich mich auf die elektronische Patientenakte freue – wird ein Fest, und die Leute sind freudig erregt. O-Ton „Kritisieren kann jeder, kann ja auch was Gutes raus kommen und Leben retten“ – Blutspende, Datenspende, da sind wir doch dabei.

      • Anon sagt:

        Und was freue ich mich erst darauf! Ich wette ne Kiste Mate darauf das in der ersten Woche die TI-Infrastruktur die Grätsche macht. Momentan will einer der großen Softwarehäuser unseren Kunden eine extra Firewall für die Kartenlesegeräte andrehen. Die würden angeblich gerade angegriffen ;)) Da die alle hinter dem SuperMegaKonnektor hängen macht das mächtig viel Sinn…aber hauptsache noch mehr Geld aus dem System saugen… das schwarze Loch wird immer größer..

    • Tom sagt:

      Aus diesen Gründen wird von mir aus vieles vom oben erwähnten abgelehnt – zu etwas ZWINGEN lasse ich mich nicht mehr und wenn etwas nicht ohne etwas anderes funktionieren (scheint), so kaufe/nutze ich es einfach nicht – Datensparsamkeit ist oberstes Gebot hier…

  3. Norddeutsch sagt:

    Irgendwie passt das Bild auf dem Screenshot perfekt zur heute gelebten „Digital Native“-IT-Kompetenz und IT-Sicherheit.
    Diese bestehen aus Wischen und Klicken – meldet selbst Tagesschau. Sicherheit, Data Governance oder DSGVO-Konformität wird vom Marketing durch Lachen und Smiley symbolisiert. Liebe Mitmenschen, [Marketingkokser würde Fefe sagen]… das macht mich alles traurig langsam.

    Genaueres Vorgehen ist noch nicht public – Gerade gibt’s bei Frau Wittmann [Fan-Grüße] im Medium-Kanal und Twitter noch Nichts…

    Bis dahin halte ich Überlegungen zu „fraglichem“ Vorgehen aus Rechtssicht verfrüht. Sie handelt mE wunderschön überlegt und sauber.

    Neumodische Hasttags fürs Marketing und SEO:
    # ItWasMyData
    # DatenschutzIstDatenschmutz
    # Helgaaaa?WassKostenDie[Kond…]Sicherheitsmaßnahmen?

    • Luzifer sagt:

      nen sauberes handeln gibt es da nicht… sie veröffentlicht Daten die nicht die Ihren sind und nicht öffentlich vom Eigentümer eingestellt wurden, wenn da geklagt wird ist sie mehr oder weniger dran!

      Richter sind da schon bereit genug zu akzeptieren das es da „Sicherheitsforscher“ gibt, die Lücken aufdecken zur unsere aller Sicherheit, nur beim fremden Daten veröffentlichen hört dann eben der Spass auf!
      Und zu Recht, das hat dann mit Sicherheitsfrorschen nix mehr zu tun.
      Wenn dann auch immer wieder ne bestimmte Person veröffentlicht wird ist das Stalking/persönlicher Rachefeldzug.

      Was ja auch mit dem aktuellen Urteil übereinkommt, verknackt wurde der nicht wegen dem Hack sondern wegen den Screenshots die auch noch veröffentlicht wurden. Hoffe ja da gibts mal nen richtigen Rundumschlag da mit diese „Forscher“ sich mal iher Ethik bewusster werden.

      Ich bleibe strikt bei meiner Einstellung: nur ein toter Hacker ist ein guter Hacker!

    • Martin sagt:

      > „Bis dahin halte ich Überlegungen zu „fraglichem“ Vorgehen aus Rechtssicht verfrüht. Sie handelt mE wunderschön überlegt und sauber.“

      Sie lässt sich offenbar vorher auch juristisch beraten, was ich aus ihrer folgenden Aussage zu einer anderen Sache schließe:
      Zitat:
      „Mein juristischer Beistand hat mir aber leider davon abgeraten. Deswegen heute leider kein Deal für Daten-Daniel.“
      Zitatende

      Quelle: https://lilithwittmann.medium.com/festnetz-cool-got-acquired-by-x-forward-for-ventures-der-deutschen-telekom-ag-d3fbe59f7365

  4. Norddeutsch sagt:

    @GB – wenn Du magst ergänze oben das fehlende „n“ bei Wittman[n] 2x für Frau Wittmann, watt mutt datt mutt! Gentlemen, Political correctness und SEO Optimierung in Einem. Ob so schnell gewandert wird wie man tippt? Danach Lösch mich hier bitte, Danke.

  5. michael sagt:

    Die Verkauf der Millionenvilla hat sich wohl positiv ausgewirkt.

    • Erwin Wecker sagt:

      Glaub ich nicht. Herr (ich identifiziere ihn so) Spahn, müsste seinen Kredit vorzeitig getilgt haben, was meines Wissens nach eher Score-schädlich ist. Aber wer weiß das schon und wie immer gilt: Alle Tiere sind gleich, nur einige sind gleicher.

      Herr Spahn könnte hier Licht ins Dunkle bringen: Frau (ich identifiziere sie so) Wittmann aufgrund des von ihm (Spahn) mit verursachten Gesetzes einfach anzeigen. – Aber man liest dazu nix. Warum?

      • Anonymous sagt:

        Und wenn die aktuell veröffentlichten Score-Daten massiv zum Besseren verändert wurden vor der Veröffentlichung? Dann sind es keine echten persönlichen Daten der Person? Und dann klagt die Person wohl eher nicht, weil sonst ein mutmasslich erheblich niedrigerer Score bekannt werden würde? Wäre ein spannender Move, die Hackerwelt denkt oftmals auch um die nächste Ecke, anders als viele aktuelle „IT-Verantwortliche“…

  6. Bjoern sagt:

    Ich bin mal gespannt wie man Fr. Wittmann hier nun einen Strick zu drehen versucht.

    Nach dem Artikel bei Heise hat Sie nach der Anmeldung mit Ihren Daten über einen API-Aufruf Namen und Meldeadresse von Hr. Spahn bei den persönlichen Daten eingetragen.

    Also mit Passwort und besonders geschützt sollte man nicht argumentieren können in diesem Fall. Ob es aber clever war die Screenshots zu veröffentlichen.

    Wie auch immer, der Hackerparagraph gehört auf den Müllhaufen der Geschichte.

  7. Tomas Jakobs sagt:

    böse gesagt: Works like intended… nicht nur der Hackerparagraf, sondern das ganze Geschäftsmodell von Schufa & Co gehört auf den Müllhaufen der Geschichte.

    In diesem Zusammenhang ein Hinweis auf die Beschwerden/ Klagen von noyb:

    https://noyb.eu/de/rechtswidrige-kreditscores-noyb-bringt-weitere-beschwerde-ein

    https://noyb.eu/de/cjeu-landmark-rulings-credit-ranking-and-review-dpas

    https://noyb.eu/de/german-credit-agency-earns-millions-through-unlawful-customer-manipulation

  8. Gast sagt:

    Ohne Details zu kennen, frage ich mich, ob hier wirklich etwas „gehackt“ wurde.
    Veröffentlicht hat sie einen Score von 98,X % und keine beschämenden Daten, er sollte sich geschmeichelt fühlen:
    Schufa: „Hervorragend: ab 97,22%
    Personen in dieser Klasse haben einen Scorewert von mindestens 97,22 %. Sie haben keine Zahlungsausfälle und Rechnungen sowie offene Beträge immer zuverlässig bezahlt. “

    Ich glaube, jeder normale Mensch (also der oft zitierte Normalbürger) würde bei einer Umfrage den Nutzen für die Gesellschaft (Schadensabwehr) vor den kleinen „Rechtsbruch“ (falls der überhaupt stattgefunden hat) stellen. Leider muss eben oft ein gewisser Nachdruck (Öffentlichkeit) her, sonst interessiert es die Firmen nicht.

    Beim ModernSolutions-Fall wurde IMHO das Volk, in dessen Namen immer Urteile gesprochen werden, „verraten“, indem man „den Boten tötet“ und den Täter (Anbieter der Buggy Software) schützt, statt das Volk, dessen Daten gefährdet sind.
    Leider hat das Volk keinen Einfluss darauf, was manche Richter in seinem Namen veranstalten.

    Ich denke immer wieder gerne an den Glühlampenrichter und frage mich, ob es dort noch Straßenlaternen gibt, oder er auch die Stadt verklagt hat, statt seinen Rollladen runterzulassen.
    https://www.spiegel.de/panorama/urteil-im-lampenstreit-licht-an-kostet-500-000-mark-a-173687.html

  9. Gast sagt:

    Ich müsste eigentlich mal bei betroffenen Unternehmen, wo ich Kunde bin oder war oder werden könnte (z. B. Check24 oder Otto sind ja bekannte Unternehmen), nachfragen, wie sie das ModernSolutions-Urteil sehen, es ist keine gute Werbung für die Wahrung von Datensicherheit oder Behebung von Lücken.

  10. Norddeutsch sagt:

    NEWS am Sonntag bei Schufa, Wittmann und itsmydata auf Twitter mit Video unter Hashtag #creditriskrisk.
    Es gibt also ein Demo-API, etwas verrät das Video schon ohne Artikel auf Medium: Dort nutzt man (noch) Localhost für Query, Standards wie JSON und OAS-Specification 3.1. Und: Wo ein API da ein Server…

    Man beachte den Wortwitz bei Credit risk risk :-) das Risiko vom Risiko. Einen Tippfehler ahne ich beim Servernamen uvicorn statt unicorn – oder ich versteh die Assoziation nicht.

    • Günter Born sagt:

      Das Video ist am Artikelende auf Mastodon verlinkt …

      • Norddeutsch sagt:

        … und es geht weiter bei Lilith auf Twitter – sie reverse-engineered scheinbar neben itsmydata per API die Scoring-Verfahren von ArvatoFinance und Experian. Wenn die Andeutungen von stumpfen Punktevergaben und Analytic stimmen halte ich die Scoring-Vorgehen für höchst fragwürdig, gar gesellschaftlich schädlich.

        Letzte News-Info wurde geschrieben als ich die Seite verspätet aktualisiert hatte, gab evtl 1-2h Versatz zur Aktualisierung im Artikel, sorry. Dabei hab ich schon 200+ Tabs offen, reicht nicht um heutzutage überall up2date zu sein.
        Den Status von 127.0.0.1 bis zu Umgebung sehe ich dabei zeitlos interessant.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert