Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud. bild: Steuern59.ch

Fail! Schweizer Steuer-App speicherte alle sensiblen Kunden-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.



«Mit der Steuern59-App erhalten Sie Ihre Steuererklärung in 24 Stunden ausgefüllt zurück», heisst es auf der Webseite der Steuerberatungsfirma Zürich Financial Solutions (Zufiso). Für eine Steuererklärung per App bezahlt der Kunde 59 Franken. Hierzu muss man die notwendigen Dokumente und Belege per Smartphone abfotografieren und mit der App hochladen.

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise. 

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig. 

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Image

bild: google street view

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

Abonniere unseren Newsletter

35
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
35Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • G.Oreb 19.09.2018 16:56
    Highlight Highlight Ich habe von der ZHAW gerade die Zugangsdaten (neues Passwort) für meinen Account erhalten. Am Telefon, vom Mitarbeiter vorgelesen.
    Verifizierung: Geburtsdatum & Adresse, welche ich von all meinen Kollegen dank der Klassenliste habe. Nachdem ich den Supporter auf das Risiko hingewiesen habe, hat er mir angeboten das Passwort stattdessen per Email zu senden an die hinterlegte Emailadresse, “wenn ich meinte, dass das sicherer sei”. Nur aus Neugier, bat ich ihn, die Emailadresse auf eine meiner Spam-Adressen ändern. Klaro, geht auch beim “sichereren” Weg! Kein Problem ¯\_(ツ)_/¯
  • Matrixx 19.09.2018 12:52
    Highlight Highlight Böse Zungen würden jetzt sagen "Wer nichts zu verbergen hat..."
  • Slant 19.09.2018 11:44
    Highlight Highlight Denkt daran!
    User Image
  • Ökonometriker 19.09.2018 11:30
    Highlight Highlight Warum sollte ich eine solche App verwenden? Das mühsame an der Steuererklärung ist doch das Zusammentragen der Dokumente, nicht das Ausfüllen der Formulare oO
  • Filzstift 19.09.2018 11:24
    Highlight Highlight Tagi/20 Minuten haben das super hingekriegt:

    Dass Kundenpasswörter einsehbar waren, haben sie nicht erwähnt; im Gegensatz wird dort der "sehr sichere" Anmeldeprozess erwähnt (Zwei-Finger-Authentifizierung).

    Ja, was rauchen die denn bei Tagi/20Min??
    2-Finger-A. nützt doch gar nichts, wenn man die Daten doch direkt im AWS einsehen und gar schreiben (gemäss Twitter: "public r/w access") kann.
    • Astrogator 19.09.2018 13:20
      Highlight Highlight 20 Minuten ist qualitativ schon mal kein Massstab. Und beim Tagi habe ich das Gefühl der Um- und Abbau hinterlässt seine Spuren. Qualitativ sah ich den Tagi früher in der Nähe der NZZ. Heute nähert er sich 20 Minuten an.
    • johnnyenglish 19.09.2018 14:21
      Highlight Highlight Zwei-Finger-Authentifizierung? 🤨
    • Filzstift 19.09.2018 15:42
      Highlight Highlight @johnnyenglish: Ok, sagen wir das mal so: Bei der Zwei-Faktor-Authentifizierung sind (mindestens) zwei Finger nötig, damit du das Phone greifen kannst, ergo ist "Zwei-Finger-Authentifizierung" nicht mal soooo falsch ;-).
  • #bringhansiback 19.09.2018 11:15
  • Rolf Meyer 19.09.2018 11:14
    Highlight Highlight Bzgl. Sicherheit steht auf der Website:
    "Ihre Daten werden sorgfältig aufbewahrt und nicht an Dritte weitergereicht. Nachrichten werden verschlüsselt und Ihr Login basiert auf einer 3-Faktoren-Authentifizierung, wie Sie es aus dem E-Banking kennen."
  • Miikee 19.09.2018 11:10
    Highlight Highlight Wenn ein Anbieter es nicht einmal fertig bringt sich ein https Zertifikat zu gönnen. Bin ich sowieso schnell wieder weg.

    Einfach nur lächerlich. Aber es war wohl billig.
    • Astrogator 19.09.2018 11:21
      Highlight Highlight was heisst gönnen? Viele Hostinganbieter haben ein SSL-Zertifikat im Grundangebot inklusive..
    • Miikee 19.09.2018 12:30
      Highlight Highlight 😂
      Ja ich wollte zuerst schreiben "kaufen". Aber die gibt es ja auch gratis bzw. meist inklusive im Hosting Angebot. Man muss sich schon fast Mühe geben dies nicht zu aktivieren.
    • Alnothur 19.09.2018 13:23
      Highlight Highlight Konfigurieren muss man es trotzdem noch.
  • Foxie 19.09.2018 11:07
    Highlight Highlight Und der schlechte Umgang damit geht gleich weiter: Rezensionen im App Store, welche das Problem aufzeigen, werden ziemlich zeitnah gelöscht.

    Danke Watson, dass ihr darüber berichtet. Offenbar will die Firma nicht, dass ihr uneinsichtiges Verhalten öffentlich wird, umso mehr ist es leider nötig, dass man die Leute davor warnt.

    Das Vertrauen ist verspielt, auch wenn sie das nun korrigiert haben / korrigieren werden.
  • velociraptorllama 19.09.2018 11:02
    Highlight Highlight Das ist kein "Fail"! Das ist illegal!
  • Astrogator 19.09.2018 10:50
    Highlight Highlight In Indien entwickelt...

    Habe auch meine Erfahrung mit indischen Kollegen während meiner IT-Zeit.
    Theoretisch gut ausgebildet, in der Praxis nicht zu gebrauchen.
  • Madison Pierce 19.09.2018 10:46
    Highlight Highlight Klassischer Fall von "Hauptsache billig". Man lässt nicht von Leuten programmieren, die seriös arbeiten. Es gibt kein Sicherheitskonzept.

    Stattdessen stellt man entweder ein paar Hipster an, die mal Grafiker gelernt und dann in die Frontend-Entwicklung gewechselt haben. Mittlerweile sind sie aber "Full Stack", weil sie in der Cloud ein paar Dienste zusammenklicken können und den Code dazu gibt es auf Stack Overflow.

    Oder man geht nach Indien. Die könnten was, aber sparen halt Zeit, weil ein Fixpreis abgemacht war.

    Dem Management gefällt's, denn die App sieht ja gut aus.
    • Astrogator 19.09.2018 11:01
      Highlight Highlight Nicht nur die App, ich bin überzeugt auch die PowerPoint-Präsentationen waren hübsch und bunt.
  • problemfall 19.09.2018 10:41
    Highlight Highlight Sowas nennt sich Protoduction. Protoypen werden weiter entwickelt und landen eines Tages im produktiven Betrieb. Ist günstiger als "in jetzt machen wirs richtig" neu zu schreiben.
    • Duscholux 19.09.2018 10:49
      Highlight Highlight Gibts bei uns in der Bude immer wieder. Eine Woche nach einem proof of concept meint der Chef plötzlich das sei produktiv und fängt an Kunden Sachen zu versprechen.
    • problemfall 19.09.2018 11:19
      Highlight Highlight Ja, das kenn ich. Und dann noch schnell die git-history neu schreiben weil in irgendwelchen Commits noch Zugriffs-Schlüssel rumgammeln.
  • #Technium# 19.09.2018 10:36
    Highlight Highlight Diese App sollte gesperrt werden und Anzeige gegen die Versntwortlichen erstattet werden!
  • Mitz en place 19.09.2018 10:23
    Highlight Highlight Bravo! Die einfach machen alles falsch, was irgendwie möglich ist.

    Sogar die Website der Firma ist unverschlüsselt und somit grundsätzlich nicht sicher! Spätestens da müsste man stutzig werden, ob das ein vertrauenswürdiger Partner ist.

  • p4trick 19.09.2018 10:21
    Highlight Highlight "Die Steuern59.ch-App scheint von einem externen Dienstleister in Indien entwickelt zu werden"
    "Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der beteiligten Entwickler."

    Tja aber hauptsache die App Entwicklung war günstig? Ich hoffe da werden massenhaft Klagen eingehen und die Kosten der Firma in die Höhe treiben. Das nächste mal halt wieder etwas mehr bezahlen. Wie heissts so schön? Wer günstig kauft, kauft 2mal?
    • Cmo 19.09.2018 11:04
      Highlight Highlight Die Firma macht einfach Konkurs und die Inhaber starten mit einem neuen Namen und (vielleicht) einer anderen Geschäftsidee. Problem solved.
  • Tommyboy Jones 19.09.2018 10:21
    Highlight Highlight ...ich lach mich schlapp! Natürlich hat das Unternehmen massiven Mist gebaut aber mal ehrlich: Wieso, im Namen von Zeus fettem Arsch, macht man seine Steuererklärung via App??? Ich verstehs echt nicht...lache aber immer noch :)
    • Zurigo 19.09.2018 10:32
      Highlight Highlight weil geschätzt 90% aller Einwohner keinen Plan haben wie eine Steuererklärung sauber ausgefüllt wird. Dazu kommt, dass dies einfach nur praktisch und verglichen mit einem Treuhänder (ca. 150.-) super günstig ist.
    • walsi 19.09.2018 10:44
      Highlight Highlight @Zurigo: You get what you pay for.
    • SJ_California 19.09.2018 11:08
      Highlight Highlight Lieber zahle ich einem guten Treuhänder 150.- oder mehr und dafür sind meine Daten und Dateien nicht öffentlich einsehbar. Ist ja eh von vornherein klar, dass für 59.- keine professionelle Arbeit geleistet werden kann!
    Weitere Antworten anzeigen
  • G. Schmidt 19.09.2018 10:14
    Highlight Highlight Wenn man schon gewarnt wird, überprüft man zumindest ob etwas dahinter steckt...

    ...und stempelt dies im Voraus nicht als Scherz ab!

    • 7immi 19.09.2018 21:03
      Highlight Highlight ... sofern man kapiert um was es geht. die app wurde in indien programmiert, die appbetreiber sind nur nutzer. man konnte mit der info vermutlich schlicht nichts anfangen. verantwortungslos wenn man bedenkt, dass es um wichtige und sensible daten geht.
  • Posersalami 19.09.2018 10:07
    Highlight Highlight Was erwartet man denn von einer Firma, die mit maximaler Transparent wirbt.. 😅

Kriminelle versenden gefälschte Swisscom-Rechnungen per E-Mail – so erkennst du den Betrug

Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:

Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, …

Artikel lesen
Link to Article