Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

Ein massives Datenleck hat am Donnerstag den Zahlungsdienstleister Klarna erschüttert. Der sieht zwar nur wenige Nutzer und keine Kontoinformationen betroffen, Kunden des Dienstleisters berichteten aber genau vom Gegenteil: Nach dem Login fanden sie sich in einem fremden Account wieder und konnten alles einsehen.

Nach dem Login wurden fremde Daten präsentiert

Als erstes hatte am Donnerstag die Twitter-Nutzerin @esraefe davon berichtet. Sie hätte sich nach dem Login in der App nicht in ihrem eigenen Account, sondern dem Konto eines fremden Nutzers wiedergefunden – und jeder weitere Login-Versuch hätte sie in einen anderen Account befördert.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Each time I tried to log in to my @Klarna account this morning, I’m on someone else’s account? Does this also mean someone else might currently be my on account? What the hell is going on?!! @AskKlarna pic.twitter.com/hqimF2zx7S

— esra efe laborde (@esraefe) May 27, 2021

X-Embeds laden Datenschutzerklärung

Sie hätte sich in diesem Account daraufhin frei bewegen können und damit nicht nur Zugang zu ausstehenden Zahlungen und der Zahlungshistorie, sondern auch den verschleiert hinterlegten Bank- oder Kreditkarteninformationen gehabt. Beim Login über die Webseite gab es das Problem nach aktuellem Kenntnisstand nicht.

Kurz darauf hatte Klarna über Twitter von technischen Problemen gesprochen, deren Lösung das Abschalten des User-Interfaces zur Folge hatte.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

We are currently experiencing system disturbances caused by a technical error. We apologise for any inconvenience this is causing. Whilst we are addressing the issue, customers are unable to log into the app.

— AskKlarna (@AskKlarna) May 27, 2021

X-Embeds laden Datenschutzerklärung

Klarna spricht von menschlichem Versagen

Am Donnerstagabend bestätigte CEO Sebastian Siemiatkowski dann das Problem. „Menschliches Versagen“ hätte dazu geführt, dass einige Nutzer nicht Informationen aus ihrem eigenen, sondern einem zufällig ausgewählten anderen Account präsentiert bekommen hätten. Der „Bug“ sei um 10:49 Uhr in das System eingespielt und um 11:04 Uhr entdeckt worden. Um 11:20 Uhr wurde daraufhin das User Interface global offline genommen. Inzwischen sei das Problem behoben und das System laufe wieder normal.

Die Systeme von Klarna wurden demzufolge keinem Angriff ausgesetzt. Dass ein derart weitreichender Fehler in den Live-Betrieb übergehen konnte, sei nichtsdestoweniger auf eine unzureichende Qualitätssicherung zurückzuführen gewesen. Das Risikomanagement habe sich als „unzureichend“ herausgestellt, so Siemiatkowski.

Keine sensiblen, aber personenbezogene Daten

Mit einem Verweis auf die GDPR (DSGVO) und deren Definition von sensiblen Daten versuchte Siemiatkowski, die Tragweite der Panne zu relativieren. In der Tat wurden sensible Informationen wie Religionszugehörigkeit, politische Einstellung, Gesundheits- oder genetische sowie biometrische Daten nicht veröffentlicht, personenbezogene Daten hingegen schon. Die von der Panne zu informierenden Behörden wurden von Klarna in Kenntnis gesetzt.