Über die App Steuern59.ch der Steuerberatungsfirma Zürich Financial Solutions (Zufiso) können Schweizer User für 59 Franken ihre Steuererklärung machen lassen. Wie nun
"Heise.de" unter Berufung auf Informationen, die dem Portal exklusiv vorliegen, berichtet, speicherten die Android- und iOS-Apps von Zufiso die in den App erhobenen Daten sowie abfotografierte Dateien bei Amazon Web Services (AWS). Dabei sind diese Daten in diesem sogenannten AWS Bucket für alle, die ein kostenloses AWS-Konto besitzen, frei einsehbar. Laut "Heise.de" gehören dazu Steuererklärungen und –bescheide, Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer. Entdeckt wurde der AWS Bucket von einem Sicherheitsforscher namens Secuninja. Er spürte zudem auch die per Bcrypt gesicherten Passwörter der Admins des Unternehmens auf. Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext, ebenso waren die Chat-Verläufe mit den Kunden im Klartext gespeichert.
Laut Zufiso wurde die Sicherheitslücke in den Apps Ende vergangener Woche mit einem Update geschlossen. "Heise.de" zufolge ist der AWS Bucket jedenfalls nicht mehr für die Öffentlichkeit lesbar. Ob auch die Speicherung der Nutzer-Anmeldedaten auf eine sichere Methode umgestellt wurde, könne man aber nicht einschätzen. Ebenso sei unklar, ob die Anwender über die Sicherheitslücke und das damit verbundene, potenzielle Datenleck informiert werden.
(abr)