Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account
Ein massives Datenleck hat am Donnerstag den Zahlungsdienstleister Klarna erschüttert. Der sieht zwar nur wenige Nutzer und keine Kontoinformationen betroffen, Kunden des Dienstleisters berichteten aber genau vom Gegenteil: Nach dem Login fanden sie sich in einem fremden Account wieder und konnten alles einsehen.
Nach dem Login wurden fremde Daten präsentiert
Als erstes hatte am Donnerstag die Twitter-Nutzerin @esraefe davon berichtet. Sie hätte sich nach dem Login in der App nicht in ihrem eigenen Account, sondern dem Konto eines fremden Nutzers wiedergefunden – und jeder weitere Login-Versuch hätte sie in einen anderen Account befördert.
Sie hätte sich in diesem Account daraufhin frei bewegen können und damit nicht nur Zugang zu ausstehenden Zahlungen und der Zahlungshistorie, sondern auch den verschleiert hinterlegten Bank- oder Kreditkarteninformationen gehabt. Beim Login über die Webseite gab es das Problem nach aktuellem Kenntnisstand nicht.
Kurz darauf hatte Klarna über Twitter von technischen Problemen gesprochen, deren Lösung das Abschalten des User-Interfaces zur Folge hatte.
Klarna spricht von menschlichem Versagen
Am Donnerstagabend bestätigte CEO Sebastian Siemiatkowski dann das Problem. „Menschliches Versagen“ hätte dazu geführt, dass einige Nutzer nicht Informationen aus ihrem eigenen, sondern einem zufällig ausgewählten anderen Account präsentiert bekommen hätten. Der „Bug“ sei um 10:49 Uhr in das System eingespielt und um 11:04 Uhr entdeckt worden. Um 11:20 Uhr wurde daraufhin das User Interface global offline genommen. Inzwischen sei das Problem behoben und das System laufe wieder normal.
Die Systeme von Klarna wurden demzufolge keinem Angriff ausgesetzt. Dass ein derart weitreichender Fehler in den Live-Betrieb übergehen konnte, sei nichtsdestoweniger auf eine unzureichende Qualitätssicherung zurückzuführen gewesen. Das Risikomanagement habe sich als „unzureichend“ herausgestellt, so Siemiatkowski.
Keine sensiblen, aber personenbezogene Daten
Mit einem Verweis auf die GDPR (DSGVO) und deren Definition von sensiblen Daten versuchte Siemiatkowski, die Tragweite der Panne zu relativieren. In der Tat wurden sensible Informationen wie Religionszugehörigkeit, politische Einstellung, Gesundheits- oder genetische sowie biometrische Daten nicht veröffentlicht, personenbezogene Daten hingegen schon. Die von der Panne zu informierenden Behörden wurden von Klarna in Kenntnis gesetzt.