Digital
Schweiz

Steuern59.ch speicherte Kunden-Daten öffentlich

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud.
Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud.bild: Steuern59.ch

Fail! Schweizer Steuer-App speicherte alle sensiblen Kunden-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.
19.09.2018, 10:0519.09.2018, 17:12
Mehr «Digital»

«Mit der Steuern59-App erhalten Sie Ihre Steuererklärung in 24 Stunden ausgefüllt zurück», heisst es auf der Webseite der Steuerberatungsfirma Zürich Financial Solutions (Zufiso). Für eine Steuererklärung per App bezahlt der Kunde 59 Franken. Hierzu muss man die notwendigen Dokumente und Belege per Smartphone abfotografieren und mit der App hochladen.

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise. 

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig. 

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Bild
bild: google street view

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
p4trick
19.09.2018 10:21registriert März 2017
"Die Steuern59.ch-App scheint von einem externen Dienstleister in Indien entwickelt zu werden"
"Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der beteiligten Entwickler."

Tja aber hauptsache die App Entwicklung war günstig? Ich hoffe da werden massenhaft Klagen eingehen und die Kosten der Firma in die Höhe treiben. Das nächste mal halt wieder etwas mehr bezahlen. Wie heissts so schön? Wer günstig kauft, kauft 2mal?
2084
Melden
Zum Kommentar
avatar
Posersalami
19.09.2018 10:07registriert September 2016
Was erwartet man denn von einer Firma, die mit maximaler Transparent wirbt.. 😅
1744
Melden
Zum Kommentar
avatar
G. Nötzli
19.09.2018 10:14registriert Juni 2015
Wenn man schon gewarnt wird, überprüft man zumindest ob etwas dahinter steckt...

...und stempelt dies im Voraus nicht als Scherz ab!
1331
Melden
Zum Kommentar
29
Mit diesen 8 Tipps werden Ostern für dich bestimmt nicht langweilig
Das verlängerte Osterwochenende steht vor der Tür. Damit dir während den freien Tagen nicht langweilig wird, haben wir hier acht sehr empfehlenswerte Ausflüge rund um die Ostertage zusammengestellt. Und ja: Es hat auch Schlechtwetter-Varianten.

Eine 20-Rappen-Münze so auf ein gekochtes Ei werfen, dass diese stecken bleibt? Ja, das geht. Wer's nicht glaubt, kann am Ostermontag unter den Bögen am Limmatquai oder auf dem Rüdenplatz diesen Zürcher Brauch bewundern oder selbst mitmachen.

Zur Story