Fall von "Autsch", aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian etc., einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen.
Anzeige
Was macht die Itsmydata GmbH?
Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal Mietern gegen "Geld und gut Worte" das Erstellen einer "Mieter-Mappe" ermöglicht. Mit dieser Mappe, die "Wohnungsunterlagen" enthält, soll sich ein Mietinteressent gegenüber einem Vermieter bezüglich der Bonität ausweisen können.
Das Webportal ermöglicht Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einzuholen und in der "Hausmappe" bereitzustellen. Das Versprechen des Unternehmens: "Sicheres Datenkonto. Bei itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen."
Ich konnte mir nicht verkneifen, die Werbung von itsmydata auf X.com per Screenshot zu dokumentieren.
Anzeige
Die versprechen "mir als Mieter" also die Macht über meine Daten auf Basis der DSGVO zurück zu geben. Der informierte Zeitgenossen weiß "wo DSGVO drauf steht, ist oft was anderes drin". Aber der Geschäftsführer von Haus & Grund jubelt, dass die itsmydata Mietermappe ein echter Vorteil für Mieter sei – ein großer Schritt in den digitalen Abgrund – vornehm als "digitale Vermietung" betitelt.
Wittmann: Frag doch mal nach
Lilith Wittmann hat dieses Angebot interessant gefunden – keine Ahnung, ob sie eine Wohnung sucht oder zu vermieten hat – dass sie das alles etwas genauer unter die Lupe genommen hat. Schnell ein Konto bei itsmydata erstellt und verifizieren lassen. Und schon konnte es losgehen – nicht mit der Mietermappe, sondern mit der Bonitätsauskunft von fremden Daten.
Lieblings-Interessent von Wittmann ist unser Ex Gesundheitsminister Jens Spahn – keine Ahnung, warum sie einen Narren ihm gefressen hat. Aber im Juli 2023 hatte sie über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen.
Ich hatte dies im Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen hier im Blog aufgegriffen. Aber erinnerungsmäßig gibt es einen Film mit dem Titel "Mach's noch mal Sam ...", scheint Wittmann auch zu kennen.
Jedenfalls hat sie im Portal von itsmydata dann mal nach Jens Spahn gefragt – dessen Meldeadresse hat sie ja. DSGVO hin, DSGVO her, sowohl Creditreform/Boniversum als auch Experian haben dann die Daten herausgerückt (siehe obiger Screenshot von X oder auf Mastodon). Also Pustekuchen mit dem itsmydata-Versprechen "Du hast die Kontrolle über deine Daten", denn ich kann mir nun nicht vorstellen, dass Herr Spahn zugestimmt hat, dass die Daten von Litlith Wittmann eingesehen werden können.
Sprich: Ein weiteres Beispiel, wo ein Portal ein Versprechen abgibt, das aber wegen Implementierungsproblemen nicht einhalten kann. Mit Hilfe der angezeigten Daten konnten auch die Zertifikate auf dieser Webseite überprüft werden.
Lilith Wittmann empfiehlt itsmydata das Portal abzuschalten. Ein Gutes hat die Sache – wir wissen jetzt, dass die Bonitätsdaten von "Jens Spahn" besser geworden sind. Insgesamt ist das alles "nicht gut" – und der oben bejubelte Schritt in Richtung digitale Vermietung ist ein weiterer Schritt in den digitalen Abgrund.
Ergänzung: Lilith Wittmann scheint noch nichts zu den Details veröffentlicht zu haben. Aber Golem hat hier noch einige Erläuterungen veröffentlicht. Wittmann hat keine Details zur Schwachstelle veröffentlicht, aber gegenüber Golem gab sie an, dass es im Grunde die gleiche Sicherheitslücke wie bei Bonify gewesen sei, die aber leichter ausnutzbar war. Da freuen wir uns doch auf die Digitalisierung. Und dem Open-Data-Ansatz sind wir ein Stückchen näher gerückt – "wir haben ja nix zu verbergen".
Anzeige
Hmmmm, nach dem Aachener Urteil im ModernSolutions Fall *könnte* es jetzt teuer werden für die junge Dame. Vorausgesetzt itsmydata kennt das Urteil und handelt nach dem Motto 'was die können, kriegen wir auch hin'. In Punkto Datensicherheit liegen die beiden ja eh schon nah bei einander.
Jens Spahn nimmt das wohl eher mit Humor. Eigentlich müsste der jetzt tätig werden, und hoffentlich dann auch in die richtige Richtung schießen.
> … nach dem Aachener Urteil im ModernSolutions Fall *könnte* es jetzt teuer werden für die junge Dame.
Völlig anderes methodisches und technisches Vorgehen, daher eher unwahrscheinlich.
> Eigentlich müsste der jetzt tätig werden…
Bitte nicht, er möge bitte weit weg von der Politik verschwinden, aber diesen Wunsch wird er uns nicht erfüllen.
| Völlig anderes methodisches und technisches Vorgehen, daher eher
| unwahrscheinlich.
Das Vorgehen war doch weitestgehend irrelevant. Der Täter hatte sich unberechtigter Weise Zugriff zu Daten verschafft und zu allem Übel auch noch Screenshots von Datensätzen erstellt. Auf Letzteres bezog sich doch das Urteil weitestgehend.
Von daher sollte bzw. müsste es eher schlecht für Frau Wittmann ausgehen, wenn es denn zu einer Klage käme. Aber vor Gericht weiß man halt nie ..
Alle Daten, die irgendwo vorhanden sind, werden ausgelesen und missbraucht werden, meist unerwähnt und ohne öffentliche Wahrnehmung.
Das betrifft sowohl solche Schufa-Daten als auch irgendwelche Apps auf dem Handy oder Tablet, Fitness-Tracker, Schlafqualität-Messgeräte, automatische Staubsauger & Rasenmäher, Solaranlagen und Windrädchen im Garten, Autosteuerung, Versicherungs-Apps, Gesundheitsakten, Banken-KI für Zuordnung Geldeingänge zu Kategorien, Supermarkt-Punkte- & Rabatt-Apps, gemietete e-Roller, Altersverifikationen am Zigarettenautomaten und irgendwo im Netz, online gekaufte Konzert-Tickets, Bahnfahrten, Flüge, Mietautos, jede bargeldlose Zahlung, jegliche Online Accounts für alles und jedes, jeder Aufruf Internetseite und so weiter…
Will nur keiner wissen.
Was glaubst Du, wie ich mich auf die elektronische Patientenakte freue – wird ein Fest, und die Leute sind freudig erregt. O-Ton "Kritisieren kann jeder, kann ja auch was Gutes raus kommen und Leben retten" – Blutspende, Datenspende, da sind wir doch dabei.
Und was freue ich mich erst darauf! Ich wette ne Kiste Mate darauf das in der ersten Woche die TI-Infrastruktur die Grätsche macht. Momentan will einer der großen Softwarehäuser unseren Kunden eine extra Firewall für die Kartenlesegeräte andrehen. Die würden angeblich gerade angegriffen ;)) Da die alle hinter dem SuperMegaKonnektor hängen macht das mächtig viel Sinn…aber hauptsache noch mehr Geld aus dem System saugen… das schwarze Loch wird immer größer..
Aus diesen Gründen wird von mir aus vieles vom oben erwähnten abgelehnt – zu etwas ZWINGEN lasse ich mich nicht mehr und wenn etwas nicht ohne etwas anderes funktionieren (scheint), so kaufe/nutze ich es einfach nicht – Datensparsamkeit ist oberstes Gebot hier…
Irgendwie passt das Bild auf dem Screenshot perfekt zur heute gelebten "Digital Native"-IT-Kompetenz und IT-Sicherheit.
Diese bestehen aus Wischen und Klicken – meldet selbst Tagesschau. Sicherheit, Data Governance oder DSGVO-Konformität wird vom Marketing durch Lachen und Smiley symbolisiert. Liebe Mitmenschen, [Marketingkokser würde Fefe sagen]… das macht mich alles traurig langsam.
Genaueres Vorgehen ist noch nicht public – Gerade gibt's bei Frau Wittmann [Fan-Grüße] im Medium-Kanal und Twitter noch Nichts…
Bis dahin halte ich Überlegungen zu "fraglichem" Vorgehen aus Rechtssicht verfrüht. Sie handelt mE wunderschön überlegt und sauber.
Neumodische Hasttags fürs Marketing und SEO:
# ItWasMyData
# DatenschutzIstDatenschmutz
# Helgaaaa?WassKostenDie[Kond…]Sicherheitsmaßnahmen?
nen sauberes handeln gibt es da nicht… sie veröffentlicht Daten die nicht die Ihren sind und nicht öffentlich vom Eigentümer eingestellt wurden, wenn da geklagt wird ist sie mehr oder weniger dran!
Richter sind da schon bereit genug zu akzeptieren das es da "Sicherheitsforscher" gibt, die Lücken aufdecken zur unsere aller Sicherheit, nur beim fremden Daten veröffentlichen hört dann eben der Spass auf!
Und zu Recht, das hat dann mit Sicherheitsfrorschen nix mehr zu tun.
Wenn dann auch immer wieder ne bestimmte Person veröffentlicht wird ist das Stalking/persönlicher Rachefeldzug.
Was ja auch mit dem aktuellen Urteil übereinkommt, verknackt wurde der nicht wegen dem Hack sondern wegen den Screenshots die auch noch veröffentlicht wurden. Hoffe ja da gibts mal nen richtigen Rundumschlag da mit diese "Forscher" sich mal iher Ethik bewusster werden.
Ich bleibe strikt bei meiner Einstellung: nur ein toter Hacker ist ein guter Hacker!
"Verschwiegene Sicherheitslücken machen das System sicher." Kappa
Nja und sie kann diese Lücke also nicht melden ohne das sie die fremden Daten veröffentlicht? Sorry…
Tote Hacker melden nichts. Sorry…
Und andere machen nichts, wofür sie nicht bezahlt werden…
+1 ;-)
@GB – wenn Du magst ergänze oben das fehlende "n" bei Wittman[n] 2x für Frau Wittmann, watt mutt datt mutt! Gentlemen, Political correctness und SEO Optimierung in Einem. Ob so schnell gewandert wird wie man tippt? Danach Lösch mich hier bitte, Danke.
Die Verkauf der Millionenvilla hat sich wohl positiv ausgewirkt.
Glaub ich nicht. Herr (ich identifiziere ihn so) Spahn, müsste seinen Kredit vorzeitig getilgt haben, was meines Wissens nach eher Score-schädlich ist. Aber wer weiß das schon und wie immer gilt: Alle Tiere sind gleich, nur einige sind gleicher.
Herr Spahn könnte hier Licht ins Dunkle bringen: Frau (ich identifiziere sie so) Wittmann aufgrund des von ihm (Spahn) mit verursachten Gesetzes einfach anzeigen. – Aber man liest dazu nix. Warum?
Und wenn die aktuell veröffentlichten Score-Daten massiv zum Besseren verändert wurden vor der Veröffentlichung? Dann sind es keine echten persönlichen Daten der Person? Und dann klagt die Person wohl eher nicht, weil sonst ein mutmasslich erheblich niedrigerer Score bekannt werden würde? Wäre ein spannender Move, die Hackerwelt denkt oftmals auch um die nächste Ecke, anders als viele aktuelle "IT-Verantwortliche"…
Ich bin mal gespannt wie man Fr. Wittmann hier nun einen Strick zu drehen versucht.
Nach dem Artikel bei Heise hat Sie nach der Anmeldung mit Ihren Daten über einen API-Aufruf Namen und Meldeadresse von Hr. Spahn bei den persönlichen Daten eingetragen.
Also mit Passwort und besonders geschützt sollte man nicht argumentieren können in diesem Fall. Ob es aber clever war die Screenshots zu veröffentlichen.
Wie auch immer, der Hackerparagraph gehört auf den Müllhaufen der Geschichte.
böse gesagt: Works like intended… nicht nur der Hackerparagraf, sondern das ganze Geschäftsmodell von Schufa & Co gehört auf den Müllhaufen der Geschichte.
In diesem Zusammenhang ein Hinweis auf die Beschwerden/ Klagen von noyb:
https://noyb.eu/de/rechtswidrige-kreditscores-noyb-bringt-weitere-beschwerde-ein
https://noyb.eu/de/cjeu-landmark-rulings-credit-ranking-and-review-dpas
https://noyb.eu/de/german-credit-agency-earns-millions-through-unlawful-customer-manipulation