Schweizer Anbieter einer Steuer-App speicherte Nutzerdaten öffentlich in der Cloud

Die Android- und iOS-App Steuern59 hat alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS) abgelegt, wie «Heise» schreibt. Die App wird durch die Steuerberatungsfirma Zürich Financial Solutions (Zufiso) vertrieben. Die Applikation soll einem die Steuererklärung erleichtern und man kann via Chat auf Expertenwissen zugreifen – und das für Fr. 59.90.

«Heise» bezieht sich auf Unterlagen, die dem Techmagazin vorliegen. Die Daten im sogenannten AWS-Bucket seien für jeden, der ein kostenloses AWS-Konto besitzt frei einsehbar gewesen. Darunter Steuererklärungen und -bescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer. Auf das Problem aufmerksam geworden war ein Sicherheitsforscher, der das Pseudonym SecuNinja benutzt.

Nachdem der Sicherheitsforscher Zufiso kontaktiert hatte, erhielt er anscheinend erst keine Antwort. Laut «Heise» geschah dies erst, als das Techportal Zürich Financial Solutions mit dem Hinweis auf eine anstehende Berichterstattung ebenfalls anschrieb. Dem widerspricht der Zufiso-Geschäftsführer Haci Bozca: «Das stimmt so nicht. Der Hinweis von SecuNinja landete zunächst im Spam. Wir haben dann geprüft ob es sich um einen seriösen Hinweis handelt oder ob jemand da einfach was probiert.» Mit «Heise» habe das nichts zu tun gehabt.

Zufiso hat Computerworld bestätigt, dass das Problem auf dem Amazon-Server behoben wurde. Laut Geschäftsführer Haci Bozca gibt es «keine Hinweise, dass das Leck missbraucht wurde». Es habe 200 Registrationen gegeben, jedoch hätten nur knapp 80 User die App tatsächlich benutzt. Erst auf nochmaliges Nachfragen erfuhren wir, dass die Benutzer «natürlich bereits informiert» wurden.

Weiter sagt Bozca: «Wir haben uns so sehr um die Sicherheit der App selber (Registration sowie Anmelde-Prozess) konzentriert, dass wir die Server-Seite unterschätzt haben.» Bei der App selber sei eine Zwei-Faktor-Authentifizierung programmiert. Bedeutet, dass Nutzer nebst dem Passwort bei jedem Login ein SMS mit einem einmaligen Code erhalten.