Steuer-App speicherte Daten in der öffentlichen Cloud

Die Android- und iOS-App Steuern59 hat alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS) abgelegt, wie heise.de schreibt.

Die App wird durch die Steuerberatungsfirma Zürich Financial Solutions GmbH (Zufiso) vertrieben. Die Applikation soll einem die Steuererklärung erleichtern und man kann via Chat auf Expertenwissen zugreifen – und das für 59 Franken.

Heise online bezieht sich auf Unterlagen, die dem Techmagazin vorliegen. Die Daten im sogenannten AWS-Bucket seien für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar gewesen. Darunter Steuererklärungen und -bescheide sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden Hunderter App-Nutzer.

Auf das Problem aufmerksam geworden war ein Sicherheitsforscher, der das Pseudonym SecuNinja benutzt. 

discovered a european tax company storing customers personal data, uploaded tax details, login data and more in an AWS bucket configured for public r/w access... more details coming soon #websecurity #GDPR

— SecuNinja (@secuninja) 18. September 2018 

Nachdem der Sicherheitsforscher Zufiso kontaktiert hatte, erhielt er anscheinend erst keine Antwort. Laut Heise online geschah dies erst, als das Techportal Zürich Financial Solutions mit dem Hinweis auf eine anstehende Berichterstattung ebenfalls anschrieb. Dem widerspricht der Zufiso-Geschäftsführer Haci Bozca: «Das stimmt so nicht. Der Hinweis von SecuNinja landete zunächst im Spam. Wir haben zunächst geprüft, ob es sich um einen seriösen Hinweis handelt oder ob jemand da einfach was probiert.» Mit Heise online habe das nichts zu tun gehabt. 

Zufiso hat pctipp.ch bestätigt, dass das Problem auf dem Amazon-Server behoben wurde. Laut Geschäftsführer Haci Bozca gibt es «keine Hinweise, dass das Leck missbraucht wurde». Es habe 200 Registrationen gegeben, jedoch hätten nur knapp 80 User die App tatsächlich benutzt. Erst auf nochmaliges Nachfragen erfuhren wir, dass die Benutzer «natürlich bereits informiert» wurden. 

Weiter sagt Bozca: «Wir haben uns so sehr um die Sicherheit der App selber (Registration sowie Anmeldeprozess) konzentriert, dass wir die Server-Seite unterschätzt haben.» Bei der App selber sei eine Zwei-Faktor-Authentifizierung programmiert. Das bedeutet, nebst dem Passwort erhält der Nutzer bei jedem Login eine SMS mit einem einmaligen Code.