Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud. bild: Steuern59.ch

Fail! Schweizer Steuer-App speicherte alle sensiblen Kunden-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.



«Mit der Steuern59-App erhalten Sie Ihre Steuererklärung in 24 Stunden ausgefüllt zurück», heisst es auf der Webseite der Steuerberatungsfirma Zürich Financial Solutions (Zufiso). Für eine Steuererklärung per App bezahlt der Kunde 59 Franken. Hierzu muss man die notwendigen Dokumente und Belege per Smartphone abfotografieren und mit der App hochladen.

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise. 

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig. 

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Bild

bild: google street view

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Das steckt hinter den «Facebook lässt Nutzer sehen, wer dein Profil besucht»-Postings

In letzter Zeit häufen sich auf Facebook Statusbeiträge, die vorgaukeln, man könne mit einer «exklusiven Funktion» sehen, wer das eigene Profil besucht habe. Das ist natürlich Quatsch. Diese Funktion gibt es auch im Jahr 2020 nicht. Es handelt sich um eine klassische Phishing-Falle. Anders gesagt: Kriminelle machen sich einmal mehr die angeborene Neugier des Menschen zunutze, um an die Passwörter der Facebook-Profile zu gelangen.

Die Masche der Betrüger ist fast so alt wie Facebook selbst, aber …

Artikel lesen
Link zum Artikel