Klarna: Nutzer konnten fremde Daten einsehen

Schweres Datenleck bei Klarna: Nutzerdaten wie Namen, Adressen, Telefonnummern, Bankdaten und Einkäufe waren für Fremde einsehbar. Klarna spricht von einer „Unannehmlichkeit“ und bestätigt den Fehler.

Beim Zahlungsdienstleister Klarna konnten Kunden fremde Benutzerkonten einsehen. Betroffene Nutzer veröffentlichten Screenshots, auf denen zu sehen war, was sie von den Nutzerkonten andere Klarna-Nutzer einsehen konnten. Auf den Screenshots ist zum Beispiel zu erkennen, in welcher Höhe Zahlungen noch ausstehen. Zudem behauptet eine Nutzerin, dass sie Bankdaten, Teile der Kreditkartendaten, Adressen, Telefonnummern, Listen der Käufe etc. sehen konnte.

Klarna schaltete die App ab, so das verunsicherte Kunden nicht mehr auf ihr Nutzerkonto zugreifen konnten. Via Twitter forderte Klarna die oben genannte Nutzerin dazu auf ihren Tweet zu löschen, weil dieser persönliche Informationen anderer Klarnanutzer zeige. In den gleichen Tweets verharmloste Klarna das Datenleck als „Unannehmlichkeit“. Das rief sofort den Protest anderer Twitternutzer hervor: “Wenn andere Menschen persönliche Nutzerdaten und Zahlungsdaten sehen können, ist das nicht nur eine Unannehmlichkeit“.

Klarna hat das ernste Datenleck in einer Stellungnahme bestätigt. Die Klarna-App blieb zunächst abgeschaltet und etwas später war das Login für Klarna-Nutzer zumindest über das Webfrontend app.klarna.com möglich. Mittlerweile hat Klarna das Problem aber gelöst und auch die Klarna-App steht wieder zur Verfügung, wie man hier nachlesen kann.

Klarna spricht von einem „selbst verschuldeten Vorfall“, der „für 31 Minuten insgesamt 9.500 App Nutzer*innen betroffen hat“. Der Fehler habe dazu geführt, „dass zufällige Benutzerdaten beim Zugriff auf unsere Benutzeroberfläche für falsche Nutzer*innen sichtbar wurden.“ Mit anderen Worten: Wer sich bei Klarna einloggte und von dem Fehler betroffen war, konnte die Nutzerdaten anderer Klaranutzer sehen. Ebenso war es umgekehrt möglich, dass die eigenen Daten von anderen Klarnanutzern eingesehen werden konnten.

Laut Klarna handelt es sich nicht um einen Hackerangriff, sondern um einen „menschlichen Fehler“ eines Mitarbeiters. Klarna beschreibe das so: „Leider hat eine unzureichende Risikobewertung eines Subsystems dazu geführt, dass ein Bedienungsfehler ohne angemessene Qualitätssicherungen in unsere Live-Systeme eingeführt werden konnte. Dies führte dazu, dass zufällige Benutzerdaten beim Zugriff auf unsere Benutzeroberfläche an den falschen Benutzer weitergegeben wurden. Da die Ursache schnell identifiziert wurde, konnten wir sofort entsprechende Maßnahmen ergreifen.“

Klarna betont, dass „der Zugriff auf die Daten vollkommen willkürlich war und keinerlei Karten- oder Bankdaten angezeigt wurden ( verschlüsselte Daten waren sichtbar ).“ Laut Klarna seien die durch den Fehler für Fremde sichtbaren Daten gemäß DSGVO-Richtlinie als “nicht-sensibel” eingestuft worden.

Am 27. Mai 2021 um 11:04 Uhr habe Klarna festgestellt, dass ein 15 Minuten zuvor eingespieltes Update zu einem Fehler geführt habe, von dem Klaras App-Nutzer betroffen waren. Klarnas Zahlungsdienste, die Händlerschnittstelle sowie die "Klarna Card" seien von dem Fehler nicht betroffen gewesen. Um 11:20 schaltete Klarna das „User Interface“ ab. Ab diesem Moment sei der Fehler laut Klarna „eingedämmt und behoben“ gewesen.

Klarna entschuldigt sich für den Vorfall. Für einen Zahlungsdienstleister ist das Vertrauen der Kunden unbedingte Voraussetzung. Ob dieses Vertrauen gelitten hat, muss die nächste Zeit zeigen.

Das schwedische Startup Klarna fungiert als Zahlungsdienstleister für Onlinekäufe. Das Unternehmen sammelt immer wieder erfolgreich Geld von Investoren ein, aktuell läuft eine neue Finanzierungsrunde, wie das Handelsblatt berichtet . Klarna plant zudem den Gang an die Börse.

Leave a comment