Datenleck: Kriminelle erbeuten sensible Kundendaten von bonify
von caschy | 36 Kommentare
Das Berliner Unternehmen bonify (gehört zur SCHUFA) hat heute seine Kunden über einen Sicherheitsvorfall informiert. Nach Angaben des Unternehmens haben sich Kriminelle Zugriff auf sensible Kundendaten verschafft. Der Vorfall betrifft Identifizierungsdokumente wie Ausweisdaten und Adressinformationen sowie Foto- und Videomaterial aus der Face-to-Face-Authentifizierung. Passwörter oder Zugangsdaten sollen nach jetzigem Zustand nicht betroffen sein. Die Mail an Kunden liegt uns vor, wir haben uns über die Echtheit direkt bei bonify rückversichert.
Die Daten sind über einen externen Dienstleister abgeflossen, der als Auftragsverarbeiter für bonify tätig war. Wie erwähnt: Zwar sind nach aktuellen Erkenntnissen keine Passwörter, Zugangsdaten oder Bankdaten betroffen, dennoch besteht sicherlich Risiko für Identitätsdiebstahl.
Das Unternehmen hat bereits Anzeige bei der Polizei Berlin erstattet und die zuständigen Datenschutzbehörden eingeschaltet. Externe Sicherheitsexperten unterstützen bei der Aufklärung des Vorfalls. Als Sofortmaßnahme stellt bonify seinen Kunden für sechs Monate einen kostenlosen Identitätsschutz zur Verfügung.
Betroffene Kunden sollten jetzt verstärkt auf verdächtige Aktivitäten achten. Bei Anzeichen von Identitätsmissbrauch empfiehlt sich der direkte Gang zur örtlichen Polizeidienststelle. Dabei kann auf das laufende Ermittlungsverfahren 250923-1800-168724 bei der Polizei Berlin verwiesen werden. Generell gilt: Keine persönlichen Daten an unbekannte Absender herausgeben und bei verdächtigen Anfragen misstrauisch bleiben. Passt auf euch und eure Lieben auf.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„Vorfall betrifft Identifizierungsdokumente wie Ausweisdaten und Adressinformationen sowie Foto- und Videomaterial aus der Face-to-Face-Authentifizierung“
Angeblich werden solche Verifizierungsdaten doch sofort wieder gelöscht? Haha, hatte nicht wirklich jemand daran geglaubt, oder? Passiert halt, vielleicht einfach so wie 99% der anderen Länder machen? Private Firmen sollten NICHT solche Daten abfragen dürfen.
Wär schön, wenn es so einfach wäre, aber das hat mit Privat und nicht-Privat leider gar nichts zu tun.
Im AZR sind ja auch haufenweise Daten die längst gelöscht sein müssten. Und das BVA bzw. das Innenministerium sind ja keine privatwirtschaftlichen Akteure.
Daten sind Macht, niemand gibt gerne Macht ab.
Hallo Jannik,
und Schufa und co. haben eh zuviel Macht und lassen sich leider durch AGB Dritter dann auch diese macht garantieren, da man ohne die Schufa-Abfrage zu erlauben nicht an bestimmte Verträge herankommt.
Das sollte erst mal per Gesetz verboten werden, daß für Alltagsgeschäfte – dazu zähle ich auch z. B. einen Mobilfunkvertrag – vom Kunden verpflichtend eine Ermächtigung zur Datenabfrage bei diesen „intitutionen“ erpreßt werden darf.
Die nutzen doch Idnow als Dienstleister für VideoIdent? Und die Löschfristen für solche Videodaten sind auch klar definiert. Sollte sich die Datenschutzbehörde mal ganz genau anschauen …
Wieso wird sowas länger als notwendig gespeichert? Verifizierung fertig -> Grund für Verarbeitung vorbei -> löschen..
Videoident ist super unsicher. Wegen dem extrem hohen Missbrauchspotential müssen die Aufnahmen relativ lang gespeichert bleiben, um Betrugsfälle rückwirkend aufklären zu können.
Geil. Man macht etwas unsicheres noch unsicherer. „Fortschritt“.
Hauptsache jeder verdient daran zu lasten der Nutzer.
warum werden denn die verifizierungsdaten dauerhaft gespeichert? 0o
Ist echt zum k*tzen, die Deutsche Bahn nutzt die zur Legitimierung, man ist also daruaf angewiesen. Ich dachte mir schon, dass es uncool ist, wenn die Daten zu so einem Start Up fließen und dann sowas.
Wenn all diese Authentifizierungen via eID laufen würden, gäbe es viele solcher Daten gar nicht mehr bei Drittanbietern zu erbeuten.
Allerdings. Ich verstehe absolut nicht, dass das nur so wenige Anbieter unterstützen.
Wird Zeit, dass der Gesetzgeber das Identifikationsverfahren mit ePerso+PIN zur Pflicht macht. Wer möchte, kann gerne weiter Video-Ident nutzen. Es soll aber bitte immer auch die Möglichkeit geben sich mit den sicheren Verfahren auszuweisen. Fotos und Videos von Personalausweisen durch den Ether zu schicken ist einfach nicht mehr zeitgemäß.
Hallo Dan,
wobei ein Video Dank der KI-Tools auch kein sicheres Verfahren mehr ist.
Und wenn Video-Rohdaten in die hände von Verbrechern geraten ist damit dem Identitätsdiebstahl Tür und tor geöffnet.
Stimme ich zu. Aber was andere, kann ich nicht beeinflussen. Ich würde nur gerne die Wahl haben ein sicheres Verfahren zu nutzen.
Ist ja hier vorliegend doch genau wie du es dir wünscht. Wer sich per eID registriert hat ist nicht betroffen. Nur wer freiwillig VideoIdent genutzt hat.
Wenn das auf Bonify zutrifft, Daumen hoch. Hab in der Vergangenheit aber schon oft erlebt, dass nur Video-Ident ging, und nichts anderes.
>>Als Sofortmaßnahme stellt bonify seinen Kunden für sechs Monate einen kostenlosen Identitätsschutz zur Verfügung.
Sechs Monate? Lebenslang ist doch wohl das Mindesteste. Dazu noch ein saftiger Schadensersatz.
Bluten sollen sie, bluten bis zum letzten Cent, den die Schufa für schlechte Zeiten gebunkert hat.
Ob er saftig ausfällt werden die Gerichte entscheiden müssen, erstmal muss der Schadensersatz aber ohnehin geltend gemacht werden und dafür gibt es ja Anbieter
Mh.. ich habe auch ein bonify Account um meine Schufadaten einzusehen. Allerdings mit der eID registriert, ich habe keine Datenleck Email bekommen. Bin ich jetzt betroffen?
Warum aber Videos und Bilder zur Identifizierung länger gespeichert werden… huiuiui. Klingt erstmal unglaublich.
„Wer sich ausschließlich per eID, Brief-Ident oder über sein Bankkonto identifiziert hat, ist von dem Vorfall nach derzeitigem Kenntnisstand nicht betroffen.“
https://page.bonify.de/information
Danke. Hatte mir gerade beim lesen des Artikels die gleiche Frage gestellt
Ausweisdaten usw. abgezogen finde ich schlimmer als ein Passwort.
Passwort kann ich schnell ändern, Ausweisdaten nicht ober biometrische Merkmale.
Warum zur Hölle werden die Daten also
a: Länger gespeichert
b: unverschlüsselt gespeichert?
Da sollte die DSGVO ziehen und die müsste man in Grund und Boden klagen
Das kam doch mit Ansage, auf dass der Laden inkl Schufa dahinter, jetzt schön bluten muss. Notfalls bis in die Insolvenz.
Und der Bund muss endlich eine Umgebung schaffen, dass solche Infos gar nicht mehr gespeichert werden müssen.
Die gibt es: eID.
Warum die oft nicht genutzt wird? Keine Ahnung. Banken machen das inzwischen häufiger.
Die DKB hatte eID vor langer Zeit eingeführt und dann wegen mangeldem Interesse der Kunden wieder eingestellt. Henne-Ei
ist hier jemand betroffen und was werdet ihr Unternehmen ? E-Mail auch bekommen
Moment mal, Lilith Wittmann hatte sich schon ausführlich mit Bonify beschäftigt.
Etwa nichts gelernt?
https://lilithwittmann.medium.com/bonify-das-schufa-startup-dass-jedem-sagt-ob-du-kreditw%C3%BCrdig-bist-a0500a53c754
Als ich eine Auskunft von dort wollte, hätte ich mich per Perso und NFC-Scan ausweisen können.
Aber aus irgendeinem Grund wollten die nicht die Ausweis-App, sondern die eigene App und ich sollte meine Ausweis-PIN dort eintippen.
Habe ich direkt gelassen und dann den Postweg genommen, war wohl besser so.
Kleine Info, wenn man googelt wie lange ID now Daten speichert kommt als Antwort maximal 90 Tage, deswegen hat wohl auch nicht jeder eine E-Mail bekommen! 🙂
Gut. Dann sind die Kinder ja sowas von sicher, wenn wir alle unsere Gesichter scannen um das Internet benutzen zu dürfen und diese Daten niemals nicht gesichert werde. Kinderschutz ist was tolles
Hä?
Okay. Die Firma die sensible Kundendaten fahrlässig verteilt hat bietet den Kunden jetzt an deren Daten zu „schützen“. Ich nehme an, dass geht nur wenn die auch die Kundendaten weiter vorhalten – sprich speichern. Wie kann ich mir das vorstellen? Haben die dazu eine Zustimmung ihrer Kunden eingeholt?
Eigentlich sollten alle Betroffenen Kunden auf Kosten von denen einen neuen Ausweis bekommen. Der alte Ausweis sollte dann ungültig werden.
Schöne Idee, bringt Dir aber nichts. Ich hatte das mal versucht und mich 1 Stunde Kreuz und Quer telefoniert, für Privat Personen gibt es keine Möglichkeit zu verifizieren ob der Ausweis der gerade vorliegt OK oder gesperrt / verloren gemeldet / ungültig ist.
Ausweise werden hierzulande eigentlich nicht „gesperrt“ und das Gültigkeitsdatum steht drauf. Er kann verloren gehen, aber es gibt ein Foto zum Vergleich mit dem den Ausweis Vorlegenden.
Man kann ihn aber als gestohlen melden und dann steht die Polizei schnell auf der Matte wenn er wieder auftaucht. Selbst am Flughafen wird man dann direkt abgefangen.
Quelle: Ausweis als verloren gemeldet, später wieder gefunden und vergessen Bescheid zu geben.