Zürich Financial Solutions Schweizer Steuer-App hat Nutzerdaten schlecht geschützt

Die Entwickler der Schweizer Steuererklärungs-App Steuern59.ch haben Kundendaten für Unbefugte leicht zugänglich in der Cloud gespeichert. Offen ist, ob das Leck ausgenutzt wurde.

Die Steuerberatungsfirma Zürich Financial Solutions (Zufiso) hat vergangene Woche eine grosse Sicherheitslücke in ihrer App  Steuern59.ch geschlossen. Die Anwendungen für iOS und Android speichern Steuererklärungsdaten und Dokumente beim Cloud-Dienst Amazon Web Services (AWS) ab. Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar.

Unter den Daten sind auch Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Anwender, meldet heise.de. Die Website beruft sich auf den Entdecker des Problems, einen Sicherheitsexperten – er tritt unter dem Pseudonym SecuNinja auf.

Zufiso soll auf die Meldung des Sicherheitsforschers zunächst nicht reagiert haben. Erst als ein Redaktor von heise.de dort nachhakte, wurde das Unternehmen aktiv. Es soll die Meldung zunächst für einen Scherz gehalten haben. 

Laut dem Bericht ist der AWS Bucket nun nicht mehr für die Öffentlichkeit lesbar. Ob auch die Speicherung der Nutzer-Anmeldedaten auf eine sichere Methode umgestellt wurde, lässt sich noch nicht einschätzen. Die Unternehmensleitung machte dazu bisher keine konkreten Angaben. Unklar ist derzeit auch, ob die Kunden von Steuern59.ch informiert wurden. Ebenso offen ist, ob das Datenleck ausgenutzt wurde, also ob Nutzerdaten entwendet wurden.