Die Steuerberatungsfirma Zürich Financial Solutions (Zufiso) bietet eine persönlich abgestimmte Steuererklärung, erstellt per Smartphone-App, für 59 Schweizer Franken an. Die dazugehörige App nennt sich Steuern59.ch und wird für Schweizer Bürger beworben. Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer.

Gefunden hat den AWS Bucket ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja Nachforschungen anstellt und dann bei den Firmen die gefundenen Schwachstellen meldet. Nachdem er Zufiso im vorliegenden Fall kontaktiert hatte, erhielt er erst keine Antwort. Erst als heise online die Zürich Financial Solutions mit dem Hinweis auf eine anstehende Berichterstattung ebenfalls anschrieb, trat man mit dem Sicherheitsforscher in Kontakt. Nach Angaben von Zufiso hatte man dort die Meldung der Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten.

Haben Sie einen Tipp? Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. zum anonymen Briefkasten

Nachdem der Forscher mit unserer Hilfe die Aufmerksamkeit der Steuerberatungsfirma errungen hatte, sah man dort wohl auch schnell ein, dass es sich bei der Sicherheitslücke nicht um einen Scherz handelte. Neben den sehr sensiblen Finanzdokumenten der Kunden hatte der Forscher außerdem die per bcrypt gesicherten Passwörter der Admins gefunden. Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext. Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert.

Die Steuern59.ch-App scheint von einem externen Dienstleister in Indien entwickelt zu werden. Zusätzlich zu den Betriebsdaten der App fand SecuNinja nämlich auch haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens. Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der beteiligten Entwickler. In Zusammenhang mit einem fertigen Produkt wie bei Steuern59.ch kann man allerdings mit Fug und Recht von Schlamperei sprechen. Auffindbar waren die Daten mit einem frei im Netz erhältlichen Tool, welches automatisch die Amazon Cloud nach eben solchen verwundbaren Buckets durchsucht.

Reaktion der App-Entwickler unbefriedigend

Mittlerweise hat uns Zufiso zugesichert, dass die Sicherheitslücke in den iOS- und Android-Apps von Steuern59.ch mit einem Update Ende der vergangenen Woche geschlossen wurde. Der AWS Bucket ist jedenfalls nicht mehr für die Öffentlichkeit lesbar. Ob auch die Speicherung der Nutzer-Anmeldedaten auf eine sichere Methode umgestellt wurde, können wir momentan nicht einschätzen. Auf eine Anfrage, ob die Firma ihre Anwender über die Sicherheitslücke und das damit verbundene, potenzielle Datenleck informieren werde, antwortete uns die Firmenleitung gegenüber ausweichend. Bisher ist uns nicht bekannt, dass die Kunden von Steuern59.ch informiert wurden.

Die Reaktion des Herstellers auf das vorbildliche Melden der Sicherheitslücke durch den unabhängigen Sicherheitsforscher lässt zu wünschen übrig. Die Änderung der Lese-Rechte des AWS Buckets dauerte mehrere Tage und weitere Informationen über das Fortschreiten der Absicherungsarbeit an der App und deren Server-Backend gab man nur widerwillig heraus. Erst nachdem wir mehrmals darauf drängten und schließlich ein Ultimatum für die Veröffentlichung der Geschichte stellten, erhielten wir kurz und knapp einige Hinweise.

Der Steuerdienstleister wollte außerdem nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären. Leider beißen Sicherheitsforscher in solchen Fällen bei Herstellern immer wieder auf Granit und es bedarf des zusätzlichen Drucks einer drohenden publikumswirksamen Veröffentlichung, damit die Entwickler solche Sicherheitslücken in ihren Produkten stopfen.

Update 21.09.2018, 11:33 Uhr

Die Geschäftsführung der Firma Zufiso hat sich nun für den Vorfall entschuldigt, alle Kunden informiert und weitere Schritte zur Absicherung der App angekündigt. (fab)