bencede
New member
Kredi derecelendirme kuruluşu Schufa kısa bir süre önce yan kuruluşu Bonify’ın uygulamasının güncellenmiş bir sürümünü yayınladı; (ücretli) kiracı hakkında bilgi verilmesi de mümkündür. Şirket yayında, yeni hizmetle Schufa’nın şeffaflığı artırmak ve insanlara verileri üzerinde daha fazla kontrol vermek istediğini söyledi. Ancak beklendiği gibi çalışmadı: Uygulamadaki bir güvenlik açığı, hizmetten çok kısa bir süre için herhangi bir verinin kurtarılmasına izin verebilirdi. Hacker ve aktivist Lilith Wittmann’ın Mastodon hesabında anlattığı ve gösterdiği şey bu.
Duyuru
Bir saniye için istekler için açık arayüz
Orada, uygulamanın API’sinde keşfettiği boşluk aracılığıyla herhangi bir kişi için kredi değerliliği bilgisinin elde edilebileceğini açıklıyor. Bu, Bankident prosedürü aracılığıyla doğrulamanın hemen ardından, ancak yalnızca bir saniye için mümkündür. Wittmann, bu süre zarfında verilerin API aracılığıyla güncellenebileceğini yazıyor. Örneğin, CDU siyasetçisi ve eski Federal Sağlık Bakanı Jens Spahn hakkında kiracı bilgilerini aldı ve ayrıca ekran görüntülerini Mastodon’da yayınladı.
Bonify uygulamasına kaydolmanın iki yolu vardır: biri IDNow sağlayıcı tanımlama süreci (kimlik kartıyla) ve diğeri bir banka hesabına kaydolmaktır (90 gün boyunca Bonify izlemek dahil). Wittmann tarafından açıklanan boşluğun tanımlama süreciyle sınırlı olup olmadığını göreceğiz. Kısıtlayıcı koşul (doğrulama başarısı) ve bir saniyelik kısa zaman dilimi nedeniyle, güvenlik açığı aracılığıyla büyük miktarda verinin kullanılması olası değildir; ama dışlanmıyor. Wittmann, sorunu henüz Schufa’ya bildirmediğini de yazıyor.
Şu anda Bonify hizmeti kapalı, web sitesi oturum açmaya çalışırken bakımın devam ettiğini bildiriyor.
güncellemeler
07/23/2023
17:28
Saat
Talep üzerine Schufa olayla ilgili olarak, mevcut bilgilere göre Wittmann’ın Bonify ile ilgili Creditreform Boniversum arasındaki hesap tanımlama sürecinde bir boşluk keşfettiğini bildirdi. Bu, kişinin adresini başka birinin adresiyle değiştirmeyi mümkün kıldı. Schufa verileri olaydan etkilenmedi çünkü adresin yasa dışı kullanımı Schufa puanını (kredi itibarı değeri) sorgulamak için kullanılamadı – Schufa güvenlik standartları bunu engelleyebilirdi.
Ayrıca Schufa, şu anda güvenlik ve kalite standartlarını yan kuruluşu Bonify’a devretmek için çalıştığını açıkladı. İlgili güvenlik analizlerinin bu yılın sonbaharına kadar tamamlanması gerekiyor.
Duyuru
(iki)
Haberin Sonu
Duyuru
Bir saniye için istekler için açık arayüz
Orada, uygulamanın API’sinde keşfettiği boşluk aracılığıyla herhangi bir kişi için kredi değerliliği bilgisinin elde edilebileceğini açıklıyor. Bu, Bankident prosedürü aracılığıyla doğrulamanın hemen ardından, ancak yalnızca bir saniye için mümkündür. Wittmann, bu süre zarfında verilerin API aracılığıyla güncellenebileceğini yazıyor. Örneğin, CDU siyasetçisi ve eski Federal Sağlık Bakanı Jens Spahn hakkında kiracı bilgilerini aldı ve ayrıca ekran görüntülerini Mastodon’da yayınladı.
Bonify uygulamasına kaydolmanın iki yolu vardır: biri IDNow sağlayıcı tanımlama süreci (kimlik kartıyla) ve diğeri bir banka hesabına kaydolmaktır (90 gün boyunca Bonify izlemek dahil). Wittmann tarafından açıklanan boşluğun tanımlama süreciyle sınırlı olup olmadığını göreceğiz. Kısıtlayıcı koşul (doğrulama başarısı) ve bir saniyelik kısa zaman dilimi nedeniyle, güvenlik açığı aracılığıyla büyük miktarda verinin kullanılması olası değildir; ama dışlanmıyor. Wittmann, sorunu henüz Schufa’ya bildirmediğini de yazıyor.
Şu anda Bonify hizmeti kapalı, web sitesi oturum açmaya çalışırken bakımın devam ettiğini bildiriyor.
güncellemeler
07/23/2023
17:28
Saat
Talep üzerine Schufa olayla ilgili olarak, mevcut bilgilere göre Wittmann’ın Bonify ile ilgili Creditreform Boniversum arasındaki hesap tanımlama sürecinde bir boşluk keşfettiğini bildirdi. Bu, kişinin adresini başka birinin adresiyle değiştirmeyi mümkün kıldı. Schufa verileri olaydan etkilenmedi çünkü adresin yasa dışı kullanımı Schufa puanını (kredi itibarı değeri) sorgulamak için kullanılamadı – Schufa güvenlik standartları bunu engelleyebilirdi.
Ayrıca Schufa, şu anda güvenlik ve kalite standartlarını yan kuruluşu Bonify’a devretmek için çalıştığını açıkladı. İlgili güvenlik analizlerinin bu yılın sonbaharına kadar tamamlanması gerekiyor.
Duyuru
(iki)
Haberin Sonu