Viele Webseiten sind immer noch unzureichend gegen einfachste Hackerangriffe geschützt. (Symbolbild) Sina Schuldt/dpa

Ein Schweizer Programmierer hat eine Sicherheitslücke bei der Schuldenplattform Meine-schuld.ch publik gemacht. Betroffen waren Daten von Schuldnern beim Inkasso-Unternehmen ScoreControl. Die Lücke wurde mittlerweile behoben.

Keine Zeit? blue News fasst für dich zusammen Die Online-Schuldnerplattform Meine-schuld.ch des Inkassounternehmens ScoreControl war nicht ausreichend vor Hackern geschützt.

Der Weblog «Dnip» machte die Entdeckung des Schweizer Programmierers Daniel Gnägi publik.

Eine einfache Sicherheitslücke erlaubte es jedem, mit Hacker-Grundkenntnissen Daten abzufragen.

ScoreControl hat die Sicherheitslücke geschlossen und relativiert das Ausmass des Fehlers. Mehr anzeigen

Schulden kommen schnell. Wenn man eine Rechnung vergisst oder einen Brief verliert, landet eine Forderung schnell bei einem Inkassobüro. Das sind Unternehmen, die für andere Firmen die Schulden eintreiben.

Eine Recherche des Weblogs «Dnip» zeigt nun, dass der Datenschutz nicht bei allen Inkassofirmen vorbildlich umgesetzt wird. Im Zentrum der Recherche steht die Plattform Meine-schuld.ch des Inkassounternehmens ScoreControl, auf der Menschen mit Schulden ihre offenen Inkassofälle im Internet prüfen können. ScoreControl rühmte sich damit, dass das Portal nach «neuesten Sicherheitsaspekten» erstellt wurde.

Der Programmierer Daniel Gnägi entdeckte aber im Dezember, dass es ziemlich einfach war, unberechtigt Zugriff auf Schuldner-Konten zu erhalten. Das genaue Vorgehen wird im Weblog «Dnip» ausführlich beschrieben.

Kurz zusammengefasst: Meine-schuld.ch war gegen einfachste Hacker-Tricks nicht geschützt. Wer eine bestimmte Zeichenfolge in das Login-Feld eingab, konnte die Datenbankabfragen so manipulieren, dass stets ein erfolgreicher Login möglich war. «Dnip» überschrieb die Recherche mit «Schuldner am Online-Pranger».

Lernende kennen diese Sicherheitslücke bereits

Diese Form der Sicherheitslücke – in der Fachsprache SQL-Injection genannt – ist in der Hackerszene seit Jahren bekannt und leicht zu beheben. Dennoch kommt es immer wieder vor, dass Webseiten keinen Schutz davor einbauen.

Das Fachmagazin «Security Insider» schreibt, dass diese Sicherheitslücke nicht nur von professionellen Hackern ausgenutzt wird, sondern auch von «Script Kiddies». Mit anderen Worten: Es ist nicht viel technisches Wissen nötig, um sie auszunutzen.

Anfang Jahr entdeckte ich mehrere Schwachstellen auf meine-schuld.ch – Zugriff auf Daten von Schuldner*innen war möglich und potentiell sogar deren Bearbeitung und Löschung. Weitere Hintergründe im Artikel von @adfichter.bsky.social & @nohillside.ch 👉 dnip.ch/2025/04/09/s...



[image or embed] — Daniel Gnägi (@gnaegi.me) 9. April 2025 um 15:25

Laut «Dnip» hatte die Webseite bis Anfang Januar 2025 nicht einmal eine «wirksame Begrenzung» der Login-Versuche. Das heisst: Ein Programm hätte während mehrerer Tage unzählige Daten von Kund*innen abgreifen können. Einsehbar waren nicht nur Name, Adresse, E-Mail-Adresse, Geburtsdatum sondern auch alle offenen Rechnungen.

Das Fehlen einfacher Schutzmechanismen hat für ScoreControl keine rechtlichen Konsequenzen. Nach eigenen Angaben geht das Unternehmen davon aus, dass ausser im Fall des Entdeckers kein weiterer Missbrauch stattgefunden hat – entsprechende Zugriffsprotokolle hätten dafür keine Hinweise ergeben. Eine Meldung an die Behörde gab es deshalb nicht.

ScoreControl bestätigt gegenüber dem Weblog und blue News, dass die Sicherheitslücke im Zuge eines Relaunchs der Webseite Ende November 2024 entstanden ist und Anfang Januar 2025 behoben wurde

ScoreControl betont auf Anfrage von blue News, dass «nachweislich kein Schaden durch die Sicherheitslücke entstanden» sei. Der Geschäftsführer Olaf Pauls sagt zudem: «Es wurden Fehler gemacht, diese aber innert kürzester Zeit behoben und entsprechende Gegenmassnahmen getroffen.»