Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud. bild: Steuern59.ch

Fail! Schweizer Steuer-App speicherte alle sensiblen Kunden-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.



«Mit der Steuern59-App erhalten Sie Ihre Steuererklärung in 24 Stunden ausgefüllt zurück», heisst es auf der Webseite der Steuerberatungsfirma Zürich Financial Solutions (Zufiso). Für eine Steuererklärung per App bezahlt der Kunde 59 Franken. Hierzu muss man die notwendigen Dokumente und Belege per Smartphone abfotografieren und mit der App hochladen.

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise. 

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig. 

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Bild

bild: google street view

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

Das könnte dich auch interessieren:

«Dieses Land ist beinahe am Ende»: Grossbritannien wählt – und ist zerrissen

Link zum Artikel

Die grösste Überraschung bei «Jumanji 2»? Sie haben es nicht (ganz) verbockt!

Link zum Artikel

Die Grossen in der Champions League unter sich – jetzt haben sie, was sie immer wollten

Link zum Artikel

Wann ist krank wirklich krank?

Link zum Artikel

Eine Enttäuschung für Cassis und Rytz. Nun darf es nicht einfach so weitergehen

Link zum Artikel

So würde Online-Shopping im «Real Life» aussehen

präsentiert vonMarkenlogo
Link zum Artikel

Die Generation Z bestimmt die grössten globalen Probleme – und es ist nicht nur das Klima

Link zum Artikel

Ta-ta-ta-taaaa: PICDUMP Nummer 300 ist da! 🎉

Link zum Artikel

SBB-Chef Ducrot ist der «Anti-Meyer» – aber mit einem dicken Tolggen im Reinheft

Link zum Artikel

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

«Dieses Land ist beinahe am Ende»: Grossbritannien wählt – und ist zerrissen

70
Link zum Artikel

Die grösste Überraschung bei «Jumanji 2»? Sie haben es nicht (ganz) verbockt!

6
Link zum Artikel

Die Grossen in der Champions League unter sich – jetzt haben sie, was sie immer wollten

54
Link zum Artikel

Wann ist krank wirklich krank?

115
Link zum Artikel

Eine Enttäuschung für Cassis und Rytz. Nun darf es nicht einfach so weitergehen

105
Link zum Artikel

So würde Online-Shopping im «Real Life» aussehen

10
Link zum Artikel

Die Generation Z bestimmt die grössten globalen Probleme – und es ist nicht nur das Klima

28
Link zum Artikel

Ta-ta-ta-taaaa: PICDUMP Nummer 300 ist da! 🎉

182
Link zum Artikel

SBB-Chef Ducrot ist der «Anti-Meyer» – aber mit einem dicken Tolggen im Reinheft

52
Link zum Artikel

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

157
Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

48
Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

158
Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

229
Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

103
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

62
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

33
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

15
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Das könnte dich auch interessieren:

«Dieses Land ist beinahe am Ende»: Grossbritannien wählt – und ist zerrissen

70
Link zum Artikel

Die grösste Überraschung bei «Jumanji 2»? Sie haben es nicht (ganz) verbockt!

6
Link zum Artikel

Die Grossen in der Champions League unter sich – jetzt haben sie, was sie immer wollten

54
Link zum Artikel

Wann ist krank wirklich krank?

115
Link zum Artikel

Eine Enttäuschung für Cassis und Rytz. Nun darf es nicht einfach so weitergehen

105
Link zum Artikel

So würde Online-Shopping im «Real Life» aussehen

10
Link zum Artikel

Die Generation Z bestimmt die grössten globalen Probleme – und es ist nicht nur das Klima

28
Link zum Artikel

Ta-ta-ta-taaaa: PICDUMP Nummer 300 ist da! 🎉

182
Link zum Artikel

SBB-Chef Ducrot ist der «Anti-Meyer» – aber mit einem dicken Tolggen im Reinheft

52
Link zum Artikel

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

157
Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

48
Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

158
Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

229
Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

103
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

62
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

33
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

15
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Abonniere unseren Newsletter

34
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
34Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • G.Oreb 19.09.2018 16:56
    Highlight Highlight Ich habe von der ZHAW gerade die Zugangsdaten (neues Passwort) für meinen Account erhalten. Am Telefon, vom Mitarbeiter vorgelesen.
    Verifizierung: Geburtsdatum & Adresse, welche ich von all meinen Kollegen dank der Klassenliste habe. Nachdem ich den Supporter auf das Risiko hingewiesen habe, hat er mir angeboten das Passwort stattdessen per Email zu senden an die hinterlegte Emailadresse, “wenn ich meinte, dass das sicherer sei”. Nur aus Neugier, bat ich ihn, die Emailadresse auf eine meiner Spam-Adressen ändern. Klaro, geht auch beim “sichereren” Weg! Kein Problem ¯\_(ツ)_/¯
  • Matrixx 19.09.2018 12:52
    Highlight Highlight Böse Zungen würden jetzt sagen "Wer nichts zu verbergen hat..."
  • Slant 19.09.2018 11:44
    Highlight Highlight Denkt daran!
    Benutzer Bild
  • Ökonometriker 19.09.2018 11:30
    Highlight Highlight Warum sollte ich eine solche App verwenden? Das mühsame an der Steuererklärung ist doch das Zusammentragen der Dokumente, nicht das Ausfüllen der Formulare oO
  • Filzstift 19.09.2018 11:24
    Highlight Highlight Tagi/20 Minuten haben das super hingekriegt:

    Dass Kundenpasswörter einsehbar waren, haben sie nicht erwähnt; im Gegensatz wird dort der "sehr sichere" Anmeldeprozess erwähnt (Zwei-Finger-Authentifizierung).

    Ja, was rauchen die denn bei Tagi/20Min??
    2-Finger-A. nützt doch gar nichts, wenn man die Daten doch direkt im AWS einsehen und gar schreiben (gemäss Twitter: "public r/w access") kann.
    • Astrogator 19.09.2018 13:20
      Highlight Highlight 20 Minuten ist qualitativ schon mal kein Massstab. Und beim Tagi habe ich das Gefühl der Um- und Abbau hinterlässt seine Spuren. Qualitativ sah ich den Tagi früher in der Nähe der NZZ. Heute nähert er sich 20 Minuten an.
    • johnnyenglish 19.09.2018 14:21
      Highlight Highlight Zwei-Finger-Authentifizierung? 🤨
    • Filzstift 19.09.2018 15:42
      Highlight Highlight @johnnyenglish: Ok, sagen wir das mal so: Bei der Zwei-Faktor-Authentifizierung sind (mindestens) zwei Finger nötig, damit du das Phone greifen kannst, ergo ist "Zwei-Finger-Authentifizierung" nicht mal soooo falsch ;-).
  • #bringhansiback 19.09.2018 11:15
  • Rolf Meyer 19.09.2018 11:14
    Highlight Highlight Bzgl. Sicherheit steht auf der Website:
    "Ihre Daten werden sorgfältig aufbewahrt und nicht an Dritte weitergereicht. Nachrichten werden verschlüsselt und Ihr Login basiert auf einer 3-Faktoren-Authentifizierung, wie Sie es aus dem E-Banking kennen."
  • Miikee 19.09.2018 11:10
    Highlight Highlight Wenn ein Anbieter es nicht einmal fertig bringt sich ein https Zertifikat zu gönnen. Bin ich sowieso schnell wieder weg.

    Einfach nur lächerlich. Aber es war wohl billig.
    • Astrogator 19.09.2018 11:21
      Highlight Highlight was heisst gönnen? Viele Hostinganbieter haben ein SSL-Zertifikat im Grundangebot inklusive..
    • Miikee 19.09.2018 12:30
      Highlight Highlight 😂
      Ja ich wollte zuerst schreiben "kaufen". Aber die gibt es ja auch gratis bzw. meist inklusive im Hosting Angebot. Man muss sich schon fast Mühe geben dies nicht zu aktivieren.
    • Alnothur 19.09.2018 13:23
      Highlight Highlight Konfigurieren muss man es trotzdem noch.
  • Foxie 19.09.2018 11:07
    Highlight Highlight Und der schlechte Umgang damit geht gleich weiter: Rezensionen im App Store, welche das Problem aufzeigen, werden ziemlich zeitnah gelöscht.

    Danke Watson, dass ihr darüber berichtet. Offenbar will die Firma nicht, dass ihr uneinsichtiges Verhalten öffentlich wird, umso mehr ist es leider nötig, dass man die Leute davor warnt.

    Das Vertrauen ist verspielt, auch wenn sie das nun korrigiert haben / korrigieren werden.
  • velociraptorllama 19.09.2018 11:02
    Highlight Highlight Das ist kein "Fail"! Das ist illegal!
  • Astrogator 19.09.2018 10:50
    Highlight Highlight In Indien entwickelt...

    Habe auch meine Erfahrung mit indischen Kollegen während meiner IT-Zeit.
    Theoretisch gut ausgebildet, in der Praxis nicht zu gebrauchen.
  • Madison Pierce 19.09.2018 10:46
    Highlight Highlight Klassischer Fall von "Hauptsache billig". Man lässt nicht von Leuten programmieren, die seriös arbeiten. Es gibt kein Sicherheitskonzept.

    Stattdessen stellt man entweder ein paar Hipster an, die mal Grafiker gelernt und dann in die Frontend-Entwicklung gewechselt haben. Mittlerweile sind sie aber "Full Stack", weil sie in der Cloud ein paar Dienste zusammenklicken können und den Code dazu gibt es auf Stack Overflow.

    Oder man geht nach Indien. Die könnten was, aber sparen halt Zeit, weil ein Fixpreis abgemacht war.

    Dem Management gefällt's, denn die App sieht ja gut aus.
    • Astrogator 19.09.2018 11:01
      Highlight Highlight Nicht nur die App, ich bin überzeugt auch die PowerPoint-Präsentationen waren hübsch und bunt.
  • problemfall 19.09.2018 10:41
    Highlight Highlight Sowas nennt sich Protoduction. Protoypen werden weiter entwickelt und landen eines Tages im produktiven Betrieb. Ist günstiger als "in jetzt machen wirs richtig" neu zu schreiben.
    • Duscholux 19.09.2018 10:49
      Highlight Highlight Gibts bei uns in der Bude immer wieder. Eine Woche nach einem proof of concept meint der Chef plötzlich das sei produktiv und fängt an Kunden Sachen zu versprechen.
    • problemfall 19.09.2018 11:19
      Highlight Highlight Ja, das kenn ich. Und dann noch schnell die git-history neu schreiben weil in irgendwelchen Commits noch Zugriffs-Schlüssel rumgammeln.
  • Mitz en place 19.09.2018 10:23
    Highlight Highlight Bravo! Die einfach machen alles falsch, was irgendwie möglich ist.

    Sogar die Website der Firma ist unverschlüsselt und somit grundsätzlich nicht sicher! Spätestens da müsste man stutzig werden, ob das ein vertrauenswürdiger Partner ist.

  • p4trick 19.09.2018 10:21
    Highlight Highlight "Die Steuern59.ch-App scheint von einem externen Dienstleister in Indien entwickelt zu werden"
    "Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der beteiligten Entwickler."

    Tja aber hauptsache die App Entwicklung war günstig? Ich hoffe da werden massenhaft Klagen eingehen und die Kosten der Firma in die Höhe treiben. Das nächste mal halt wieder etwas mehr bezahlen. Wie heissts so schön? Wer günstig kauft, kauft 2mal?
    • Cmo 19.09.2018 11:04
      Highlight Highlight Die Firma macht einfach Konkurs und die Inhaber starten mit einem neuen Namen und (vielleicht) einer anderen Geschäftsidee. Problem solved.
  • Tommyboy Jones 19.09.2018 10:21
    Highlight Highlight ...ich lach mich schlapp! Natürlich hat das Unternehmen massiven Mist gebaut aber mal ehrlich: Wieso, im Namen von Zeus fettem Arsch, macht man seine Steuererklärung via App??? Ich verstehs echt nicht...lache aber immer noch :)
    • Zurigo 19.09.2018 10:32
      Highlight Highlight weil geschätzt 90% aller Einwohner keinen Plan haben wie eine Steuererklärung sauber ausgefüllt wird. Dazu kommt, dass dies einfach nur praktisch und verglichen mit einem Treuhänder (ca. 150.-) super günstig ist.
    • walsi 19.09.2018 10:44
      Highlight Highlight @Zurigo: You get what you pay for.
    • SJ_California 19.09.2018 11:08
      Highlight Highlight Lieber zahle ich einem guten Treuhänder 150.- oder mehr und dafür sind meine Daten und Dateien nicht öffentlich einsehbar. Ist ja eh von vornherein klar, dass für 59.- keine professionelle Arbeit geleistet werden kann!
    Weitere Antworten anzeigen
  • G. Schmidt 19.09.2018 10:14
    Highlight Highlight Wenn man schon gewarnt wird, überprüft man zumindest ob etwas dahinter steckt...

    ...und stempelt dies im Voraus nicht als Scherz ab!

    • 7immi 19.09.2018 21:03
      Highlight Highlight ... sofern man kapiert um was es geht. die app wurde in indien programmiert, die appbetreiber sind nur nutzer. man konnte mit der info vermutlich schlicht nichts anfangen. verantwortungslos wenn man bedenkt, dass es um wichtige und sensible daten geht.
  • Posersalami 19.09.2018 10:07
    Highlight Highlight Was erwartet man denn von einer Firma, die mit maximaler Transparent wirbt.. 😅

17 Tonnen CO2 für einen Elektroauto-Akku? Das steckt hinter dem Mythos

Für Kritiker der Elektromobilität war die «Schweden-Studie» vor zwei Jahren ein gefundenes Fressen: Sie sahen sie als Beleg, dass E-Autos kaum umweltfreundlicher als Verbrenner seien. Die gleichen Forscher kommen nun zu einem ganz anderen Schluss.

Haben Elektroautos wegen der aufwendigen Produktion der Batterien kaum ökologische Vorteile gegenüber konventionellen Fahrzeugen? Eine Studie aus Schweden vor zwei Jahren hatten Gegner der E-Mobilität so ausgelegt. Nun zeichnen neue Daten derselben Forscher ein ganz anderes Bild.

Bei der Produktion der Batterien von Elektroautos werden laut einer neuen Studie inzwischen weniger klimaschädliche Gase ausgestossen als vielfach angenommen. Einer der Hauptgründe dafür sei, dass die …

Artikel lesen
Link zum Artikel