Eine Schwachstelle in der mobilen Bezahl-App „Digicash“ könnte laut IT-Experten als erste Etappe für Hackerattacken genutzt werden. Auch die Konformität mit Datenschutzregeln ist zweifelhaft. Es ist nicht das erste Mal, dass beim Betreiber eine Sicherheitslücke entdeckt wird.

„Erleichtern Sie sich das Leben“, lautet der Werbespruch von „Digicash“. „Bargeld? Brauchen Sie nicht mehr.“ „Garantiert schnell und sicher!“ Für den mobilen Bezahldienst, der mit fünf luxemburgischen Banken und etlichen Geschäften und Behörden zusammenarbeitet, ist die Benutzerfreundlichkeit seines Produkts das größte Verkaufsargument.

Doch die Leichtigkeit der Bedienung der Apps hat auch eine Kehrseite. Eine zentrale Funktion von Digicash besteht darin, dass sich Personen über ein Smartphone schnell kleinere Beträge überweisen können. Das geschieht über die Eingabe von Handy-Nummern. Das Problem: Auch wenn man eine Nummer eingibt, deren Besitzer man nicht kennt, erscheint in der Digicash-App der Vor- und Nachname des Besitzers der Telefonnummer – vorausgesetzt die betreffende Person hat die App ebenso heruntergeladen.

„Damit erhält man Zugriff auf Daten, die einem eigentlich nicht zustehen“, sagt Stéphane Ewerling. Der IT-Experte ist durch Zufall auf die Schwachstelle in der App aufmerksam geworden. Dass es sich um eine Sicherheitslücke handelt, ist für ihn offensichtlich. Denn, wenn man als einzelner Benutzer der App mit einer zufälligen Telefonnummer den passenden Vor- und Nachnamen herausfinden kann, sei das nicht im Sinne des Datenschutzes. Vor allem handele es sich aber um eine Verwundbarkeit, die von Hackern ausgenutzt werden könnte.

Digicash, eine „halb-öffentliche Datenbank“

Ein mittelmäßig begabter Informatiker könne sich laut dem Experten über die Funktionalität der Digicash-App nämlich leicht die persönlichen Daten aller Nutzer des Bezahldienstes aneignen. Das geschehe über den Weg einer systematischen Simulation der App auf einem leistungsstarken Rechner. „Wenn man über die Eingabe einer Telefonnummer den Namen des Besitzers herausfindet, ist es für einen Informatiker ein Kinderspiel, das systematisch für alle Nummern und Namen durchzuspielen“, so Stéphane Ewerling.

Sam Grüneisen vom „Chaos Computer Club Lëtzebuerg“ spricht in diesem Sinn von einer „halb-öffentlichen Datenbank“, die durch die App betrieben wird …