Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account
Ein massives Datenleck hat am Donnerstag den Zahlungsdienstleister Klarna erschüttert. Der sieht zwar nur wenige Nutzer und keine Kontoinformationen betroffen, Kunden des Dienstleisters berichteten aber genau vom Gegenteil: Nach dem Login fanden sie sich in einem fremden Account wieder und konnten alles einsehen.
Nach dem Login wurden fremde Daten präsentiert
Als erstes hatte am Donnerstag die Twitter-Nutzerin @esraefe davon berichtet. Sie hätte sich nach dem Login in der App nicht in ihrem eigenen Account, sondern dem Konto eines fremden Nutzers wiedergefunden – und jeder weitere Login-Versuch hätte sie in einen anderen Account befördert.
Each time I tried to log in to my @Klarna account this morning, I’m on someone else’s account? Does this also mean someone else might currently be my on account? What the hell is going on?!! @AskKlarna pic.twitter.com/hqimF2zx7S
— esra efe laborde (@esraefe) May 27, 2021
Sie hätte sich in diesem Account daraufhin frei bewegen können und damit nicht nur Zugang zu ausstehenden Zahlungen und der Zahlungshistorie, sondern auch den verschleiert hinterlegten Bank- oder Kreditkarteninformationen gehabt. Beim Login über die Webseite gab es das Problem nach aktuellem Kenntnisstand nicht.
Kurz darauf hatte Klarna über Twitter von technischen Problemen gesprochen, deren Lösung das Abschalten des User-Interfaces zur Folge hatte.
We are currently experiencing system disturbances caused by a technical error. We apologise for any inconvenience this is causing. Whilst we are addressing the issue, customers are unable to log into the app.
— AskKlarna (@AskKlarna) May 27, 2021
Klarna spricht von menschlichem Versagen
Am Donnerstagabend bestätigte CEO Sebastian Siemiatkowski dann das Problem. „Menschliches Versagen“ hätte dazu geführt, dass einige Nutzer nicht Informationen aus ihrem eigenen, sondern einem zufällig ausgewählten anderen Account präsentiert bekommen hätten. Der „Bug“ sei um 10:49 Uhr in das System eingespielt und um 11:04 Uhr entdeckt worden. Um 11:20 Uhr wurde daraufhin das User Interface global offline genommen. Inzwischen sei das Problem behoben und das System laufe wieder normal.
Die Systeme von Klarna wurden demzufolge keinem Angriff ausgesetzt. Dass ein derart weitreichender Fehler in den Live-Betrieb übergehen konnte, sei nichtsdestoweniger auf eine unzureichende Qualitätssicherung zurückzuführen gewesen. Das Risikomanagement habe sich als „unzureichend“ herausgestellt, so Siemiatkowski.
Keine sensiblen, aber personenbezogene Daten
Mit einem Verweis auf die GDPR (DSGVO) und deren Definition von sensiblen Daten versuchte Siemiatkowski, die Tragweite der Panne zu relativieren. In der Tat wurden sensible Informationen wie Religionszugehörigkeit, politische Einstellung, Gesundheits- oder genetische sowie biometrische Daten nicht veröffentlicht, personenbezogene Daten hingegen schon. Die von der Panne zu informierenden Behörden wurden von Klarna in Kenntnis gesetzt.
