Die App Steuern59.ch der Firma Zürich Financial Solutions (Zufiso) hat Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten in einem öffentlich lesbaren AWS Bucket abgelegt.

Die Zürich Financial Solutions (Zufiso) bietet die Smartphone-App Steuern59.ch an. Laut Informationen, welche „heise online“ exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für Dritte frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer.

Gefunden hat den AWS Bucket ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja Nachforschungen anstellt und dann bei den Firmen die gefundenen Schwachstellen meldet. Nachdem er Zufiso im vorliegenden Fall kontaktiert hatte, erhielt er erst keine Antwort. Erst als heise online die Zürich Financial Solutions mit dem Hinweis auf eine anstehende Berichterstattung ebenfalls anschrieb, trat man mit dem Sicherheitsforscher in Kontakt.

Neben den sehr sensiblen Finanzdokumenten der Kunden hatte der Forscher außerdem die per bcrypt gesicherten Passwörter der Admins gefunden. Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext. Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert.

Die Steuern59.ch-App wurde von einem externen Dienstleister in Indien entwickelt. Zusätzlich zu den Betriebsdaten der App fand SecuNinja nämlich auch haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens. Solche öffentlich zugänglichen AWS Buckets kommen immer wieder mal vor, oft handelt es sich um Anfängerfehler der Entwickler.

Darum, Finger wegg von indischen Software-Entwicker (siehe auch Postfinance).