Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud. bild: Steuern59.ch

Fail! Schweizer Steuer-App speicherte alle sensiblen Kunden-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.



«Mit der Steuern59-App erhalten Sie Ihre Steuererklärung in 24 Stunden ausgefüllt zurück», heisst es auf der Webseite der Steuerberatungsfirma Zürich Financial Solutions (Zufiso). Für eine Steuererklärung per App bezahlt der Kunde 59 Franken. Hierzu muss man die notwendigen Dokumente und Belege per Smartphone abfotografieren und mit der App hochladen.

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise. 

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig. 

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Bild

bild: google street view

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

Das könnte dich auch interessieren:

«Es ist absurd» – der Chef erklärt, was er vom Feminismus hält

Link zum Artikel

Vorsicht, jetzt kommt die Wohnmobil-Rezession!

Link zum Artikel

Du bist ein Schwing-Banause? Wir klären dich rechtzeitig fürs Eidgenössische auf

Link zum Artikel

Zug steckt während 3 Stunden zwischen Grenchen und Biel fest – Passagiere wurden evakuiert

Link zum Artikel

Apples Update-Schlamassel – gefährliche iOS-Lücke steht zurzeit wieder offen

Link zum Artikel

So viel verdient dein Lehrer – der grosse Schweizer Lohnreport 2019

Link zum Artikel

Prügelt Trump die amerikanische Wirtschaft in eine Rezession?

Link zum Artikel

Schweizer Firmen wollen keine Raucher einstellen – weil sie (angeblich) stinken

Link zum Artikel

Liam und Emma sind die beliebtesten Namen der Schweiz – wie sieht es in deinem Kanton aus?

Link zum Artikel

AfD-Politikerin Alice Weidel ist heimlich wieder in die Schweiz gezogen

Link zum Artikel

Mein Horror-Erlebnis im Militär – und was ich daraus lernte

Link zum Artikel

2 mal 3 macht 4! – Das wurde aus den Darstellern von «Pippi Langstrumpf»

Link zum Artikel

Greta Thunberg wollte Panik säen, erntet nun aber Wut

Link zum Artikel

Pasta mit Tomatensauce? OK, wir müssen kurz reden.

Link zum Artikel

«Es war die Hölle» – dieser Schweizer war am ersten Woodstock dabei

Link zum Artikel

Oppos Reno 5G ist ein spektakuläres Smartphone – das seiner Zeit voraus ist

Link zum Artikel

MEI, Minarett und Güsel: Das musst du zum Polit-Röstigraben wissen

Link zum Artikel

Ich hab die 3 neuen Huawei-Handys 2 Monate im Alltag getestet – es gab einen klaren Sieger

Link zum Artikel

Keine Hoffnung auf Überlebende nach Unwetter im Wallis ++ Gesperrte Pässe in Graubünden

Link zum Artikel

Immer wieder Djokovic – oder Federers Kampf gegen die Dämonen der Vergangenheit

Link zum Artikel

QDH: Huber ist in den Ferien. Wir haben ihn vorher noch ein bisschen gequält

Link zum Artikel

YB-Fan lehnt sich im Extrazug aus dem Fenster – und wird von Schild getroffen

Link zum Artikel

10 Tweets, die zeigen, dass in Grönland gerade etwas komplett schief läuft

Link zum Artikel

Wahlvorschau: Die Zentralschweiz ist diesmal nicht nur für Rot-Grün ein hartes Pflaster

Link zum Artikel

Sogar Taschenrechner verwirrt: Dieses Mathe-Rätsel macht gerade alle verrückt

Link zum Artikel

Die bizarre Geschichte der Skinwalker-Ranch, Teil 4: Die Zweifel des Insiders

Link zum Artikel

Uli, der Unsportliche – warum GC-Trainer Forte in Aarau unten durch ist

Link zum Artikel

Die Bloggerin, die 22 Holocaust-Opfer erfand, ist tot, ihre Fantasie war grenzenlos

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

Der neue Tarantino? Ist Mist. Aber vielleicht seht ihr das ganz anders

Link zum Artikel

Wohin ist denn eigentlich die Hitzewelle verschwunden? Nun, die Antwort ist beunruhigend

Link zum Artikel

Gewalt und Krankheiten – die Bewohner der ersten Steinzeit-Stadt lebten gefährlich

Link zum Artikel

Ab heute lebt die Welt auf Ökopump – und diese Länder sind die grössten Umweltsünder

Link zum Artikel

ARD-Moderatorin lästert über «Fortnite»-Spieler und erntet Shitstorm – nun wehrt sie sich

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

35
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
35Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • G.Oreb 19.09.2018 16:56
    Highlight Highlight Ich habe von der ZHAW gerade die Zugangsdaten (neues Passwort) für meinen Account erhalten. Am Telefon, vom Mitarbeiter vorgelesen.
    Verifizierung: Geburtsdatum & Adresse, welche ich von all meinen Kollegen dank der Klassenliste habe. Nachdem ich den Supporter auf das Risiko hingewiesen habe, hat er mir angeboten das Passwort stattdessen per Email zu senden an die hinterlegte Emailadresse, “wenn ich meinte, dass das sicherer sei”. Nur aus Neugier, bat ich ihn, die Emailadresse auf eine meiner Spam-Adressen ändern. Klaro, geht auch beim “sichereren” Weg! Kein Problem ¯\_(ツ)_/¯
  • Matrixx 19.09.2018 12:52
    Highlight Highlight Böse Zungen würden jetzt sagen "Wer nichts zu verbergen hat..."
  • Slant 19.09.2018 11:44
    Highlight Highlight Denkt daran!
    Benutzer Bild
  • Ökonometriker 19.09.2018 11:30
    Highlight Highlight Warum sollte ich eine solche App verwenden? Das mühsame an der Steuererklärung ist doch das Zusammentragen der Dokumente, nicht das Ausfüllen der Formulare oO
  • Filzstift 19.09.2018 11:24
    Highlight Highlight Tagi/20 Minuten haben das super hingekriegt:

    Dass Kundenpasswörter einsehbar waren, haben sie nicht erwähnt; im Gegensatz wird dort der "sehr sichere" Anmeldeprozess erwähnt (Zwei-Finger-Authentifizierung).

    Ja, was rauchen die denn bei Tagi/20Min??
    2-Finger-A. nützt doch gar nichts, wenn man die Daten doch direkt im AWS einsehen und gar schreiben (gemäss Twitter: "public r/w access") kann.
    • Astrogator 19.09.2018 13:20
      Highlight Highlight 20 Minuten ist qualitativ schon mal kein Massstab. Und beim Tagi habe ich das Gefühl der Um- und Abbau hinterlässt seine Spuren. Qualitativ sah ich den Tagi früher in der Nähe der NZZ. Heute nähert er sich 20 Minuten an.
    • johnnyenglish 19.09.2018 14:21
      Highlight Highlight Zwei-Finger-Authentifizierung? 🤨
    • Filzstift 19.09.2018 15:42
      Highlight Highlight @johnnyenglish: Ok, sagen wir das mal so: Bei der Zwei-Faktor-Authentifizierung sind (mindestens) zwei Finger nötig, damit du das Phone greifen kannst, ergo ist "Zwei-Finger-Authentifizierung" nicht mal soooo falsch ;-).
  • #bringhansiback 19.09.2018 11:15
  • Rolf Meyer 19.09.2018 11:14
    Highlight Highlight Bzgl. Sicherheit steht auf der Website:
    "Ihre Daten werden sorgfältig aufbewahrt und nicht an Dritte weitergereicht. Nachrichten werden verschlüsselt und Ihr Login basiert auf einer 3-Faktoren-Authentifizierung, wie Sie es aus dem E-Banking kennen."
  • Miikee 19.09.2018 11:10
    Highlight Highlight Wenn ein Anbieter es nicht einmal fertig bringt sich ein https Zertifikat zu gönnen. Bin ich sowieso schnell wieder weg.

    Einfach nur lächerlich. Aber es war wohl billig.
    • Astrogator 19.09.2018 11:21
      Highlight Highlight was heisst gönnen? Viele Hostinganbieter haben ein SSL-Zertifikat im Grundangebot inklusive..
    • Miikee 19.09.2018 12:30
      Highlight Highlight 😂
      Ja ich wollte zuerst schreiben "kaufen". Aber die gibt es ja auch gratis bzw. meist inklusive im Hosting Angebot. Man muss sich schon fast Mühe geben dies nicht zu aktivieren.
    • Alnothur 19.09.2018 13:23
      Highlight Highlight Konfigurieren muss man es trotzdem noch.
  • Foxie 19.09.2018 11:07
    Highlight Highlight Und der schlechte Umgang damit geht gleich weiter: Rezensionen im App Store, welche das Problem aufzeigen, werden ziemlich zeitnah gelöscht.

    Danke Watson, dass ihr darüber berichtet. Offenbar will die Firma nicht, dass ihr uneinsichtiges Verhalten öffentlich wird, umso mehr ist es leider nötig, dass man die Leute davor warnt.

    Das Vertrauen ist verspielt, auch wenn sie das nun korrigiert haben / korrigieren werden.
  • velociraptorllama 19.09.2018 11:02
    Highlight Highlight Das ist kein "Fail"! Das ist illegal!
  • Astrogator 19.09.2018 10:50
    Highlight Highlight In Indien entwickelt...

    Habe auch meine Erfahrung mit indischen Kollegen während meiner IT-Zeit.
    Theoretisch gut ausgebildet, in der Praxis nicht zu gebrauchen.
  • Madison Pierce 19.09.2018 10:46
    Highlight Highlight Klassischer Fall von "Hauptsache billig". Man lässt nicht von Leuten programmieren, die seriös arbeiten. Es gibt kein Sicherheitskonzept.

    Stattdessen stellt man entweder ein paar Hipster an, die mal Grafiker gelernt und dann in die Frontend-Entwicklung gewechselt haben. Mittlerweile sind sie aber "Full Stack", weil sie in der Cloud ein paar Dienste zusammenklicken können und den Code dazu gibt es auf Stack Overflow.

    Oder man geht nach Indien. Die könnten was, aber sparen halt Zeit, weil ein Fixpreis abgemacht war.

    Dem Management gefällt's, denn die App sieht ja gut aus.
    • Astrogator 19.09.2018 11:01
      Highlight Highlight Nicht nur die App, ich bin überzeugt auch die PowerPoint-Präsentationen waren hübsch und bunt.
  • problemfall 19.09.2018 10:41
    Highlight Highlight Sowas nennt sich Protoduction. Protoypen werden weiter entwickelt und landen eines Tages im produktiven Betrieb. Ist günstiger als "in jetzt machen wirs richtig" neu zu schreiben.
    • Duscholux 19.09.2018 10:49
      Highlight Highlight Gibts bei uns in der Bude immer wieder. Eine Woche nach einem proof of concept meint der Chef plötzlich das sei produktiv und fängt an Kunden Sachen zu versprechen.
    • problemfall 19.09.2018 11:19
      Highlight Highlight Ja, das kenn ich. Und dann noch schnell die git-history neu schreiben weil in irgendwelchen Commits noch Zugriffs-Schlüssel rumgammeln.
  • #Technium# 19.09.2018 10:36
    Highlight Highlight Diese App sollte gesperrt werden und Anzeige gegen die Versntwortlichen erstattet werden!
  • Mitz en place 19.09.2018 10:23
    Highlight Highlight Bravo! Die einfach machen alles falsch, was irgendwie möglich ist.

    Sogar die Website der Firma ist unverschlüsselt und somit grundsätzlich nicht sicher! Spätestens da müsste man stutzig werden, ob das ein vertrauenswürdiger Partner ist.

  • p4trick 19.09.2018 10:21
    Highlight Highlight "Die Steuern59.ch-App scheint von einem externen Dienstleister in Indien entwickelt zu werden"
    "Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der beteiligten Entwickler."

    Tja aber hauptsache die App Entwicklung war günstig? Ich hoffe da werden massenhaft Klagen eingehen und die Kosten der Firma in die Höhe treiben. Das nächste mal halt wieder etwas mehr bezahlen. Wie heissts so schön? Wer günstig kauft, kauft 2mal?
    • Cmo 19.09.2018 11:04
      Highlight Highlight Die Firma macht einfach Konkurs und die Inhaber starten mit einem neuen Namen und (vielleicht) einer anderen Geschäftsidee. Problem solved.
  • Tommyboy Jones 19.09.2018 10:21
    Highlight Highlight ...ich lach mich schlapp! Natürlich hat das Unternehmen massiven Mist gebaut aber mal ehrlich: Wieso, im Namen von Zeus fettem Arsch, macht man seine Steuererklärung via App??? Ich verstehs echt nicht...lache aber immer noch :)
    • Zurigo 19.09.2018 10:32
      Highlight Highlight weil geschätzt 90% aller Einwohner keinen Plan haben wie eine Steuererklärung sauber ausgefüllt wird. Dazu kommt, dass dies einfach nur praktisch und verglichen mit einem Treuhänder (ca. 150.-) super günstig ist.
    • walsi 19.09.2018 10:44
      Highlight Highlight @Zurigo: You get what you pay for.
    • SJ_California 19.09.2018 11:08
      Highlight Highlight Lieber zahle ich einem guten Treuhänder 150.- oder mehr und dafür sind meine Daten und Dateien nicht öffentlich einsehbar. Ist ja eh von vornherein klar, dass für 59.- keine professionelle Arbeit geleistet werden kann!
    Weitere Antworten anzeigen
  • G. Schmidt 19.09.2018 10:14
    Highlight Highlight Wenn man schon gewarnt wird, überprüft man zumindest ob etwas dahinter steckt...

    ...und stempelt dies im Voraus nicht als Scherz ab!

    • 7immi 19.09.2018 21:03
      Highlight Highlight ... sofern man kapiert um was es geht. die app wurde in indien programmiert, die appbetreiber sind nur nutzer. man konnte mit der info vermutlich schlicht nichts anfangen. verantwortungslos wenn man bedenkt, dass es um wichtige und sensible daten geht.
  • Posersalami 19.09.2018 10:07
    Highlight Highlight Was erwartet man denn von einer Firma, die mit maximaler Transparent wirbt.. 😅

Million Fingerabdrücke, Gesichtsfotos und Passwörter im Netz – das solltest du nun wissen

Eine Sicherheitsfirma hat die biometrischen Daten ihrer Kunden unverschlüsselt im Internet gespeichert. Davon betroffen sind unzählige Firmen in Europa – darunter Banken, aber auch die britischen Polizei.

Sicherheitsforscher aus Israel haben eine Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt: Darunter Gesichtsscans, aber auch unverschlüsselte Passwörter. Diese Datenbank konnte quasi ungeschützt und unverschlüsselt im Web abgerufen werden.

Die Daten stammen vom System «Biostar 2» der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten …

Artikel lesen
Link zum Artikel