In der Theorie ist die App «Steuern59» eine runde Sache: Der Nutzer lädt seine Belege hoch und erhält gegen eine Gebühr von knapp 60 Franken seine Steuererklärung, ohne dass er noch mehr dafür tun müsste. In der Praxis allerdings bedeutete dies, dass der Nutzer seine persönlichen Finanzen offenbarte – und zwar einer potenziell breiten Öffentlichkeit. Bis vor kurzem konnten alle Nutzer der Amazon-Cloud AWS die Daten einsehen, inklusive Steuerbescheiden, abfotografierten Dokumenten, Lohnabrechnungen, Geburtsurkunden. Das berichtet das deutsche Technikportal heise.de.

Partner-Inhalte
 
 
 
 
 
 

Demnach hat die Firma «Zufiso» – Zurich Financial Solutions –, die hinter der App steht, die Daten fahrlässig unsicher abgespeichert. Die Daten wurden in einem sogenannten AWS Bucket gelagert, das öffentlich zugänglich war. Jeder mit einem kostenlosen Zugang konnte die Daten finden und einsehen. Zufiso-Geschäftsführer Haci Bozca sagt dazu: «Wir haben uns so sehr auf die Sicherheit der App selbst – Registration und Anmeldeprozess – konzentriert, dass wir die Server-Seite unterschätzt haben.» Das Problem habe die Daten von rund 80 Nutzern betroffen.

Aufgedeckt hat die Lücke ein Sicherheitsforscher, der auf Twitter unter dem Pseudonym SecuNinja unterwegs ist. Seine Warnung verhallte jedoch ungehört, erst die Nachfrage von heise.de liess die Firma handeln. Laut Geschäftsführer Bozca habe man das Mail von SecuNinja noch darauf überprüfen lassen, ob es sich um einen seriösen Hinweis handelte.

Zufiso ist ein kleines Unternehmen in Zürich, das laut Handelsregister allein über Inhaber Haci Bozca läuft. Das Stammkapital der Firma beträgt 20'000 Franken. Die Firma arbeitet laut heise.de mit externen Entwicklern in Indien. Dort trat die Sicherheitslücke auf. Das öffentlich zugängliche AWS Bucket enthielt offenbar auch App-Entwürfe, Zeichnungen und Fotos der Entwickler.

Die Speicherlücke wurde bei einem Update für die iOS- und Android-Versionen der App vergangene Woche behoben, wie Bozca bestätigt. Die Verschlüsselung werde nun in der Schweiz nochmals überprüft. Die Anmeldung der Nutzer sichere «Steuern59» mittels Zwei-Faktor-Authentifizierung: Zusätzlich zu einem Passwort erhielten die Kunden jeweils einen Code per SMS.