News Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

[Jan]

Ein massives Datenleck hat am Donnerstag den Zahlungsdienstleister Klarna erschüttert. Der sieht zwar nur wenige Nutzer und keine Kontoinformationen betroffen, Kunden des Dienstleisters berichteten aber genau vom Gegenteil: Nach dem Login fanden sie sich in einem fremden Account wieder und konnten alles einsehen.

Zur News: Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

 

[tHe442]

Wieso Giropay oder Paydirekt nicht eine bessere Verteilung gefunden hat und stattdessen Unternehmen wie Sofortüberweisung oder Klarna als Zahlungsmöglichkeit angeboten werden und wieso Rechnung heutzutage fast immer über Klarna laufen muss, ist mir ehrlich gesagt ein Rätsel. Ich weiß nicht ob Giropay per se sicherer ist, aber einen anderen Banking-Account kann ich damit sicher nicht aufrufen. Dazu kommt, dass Klarna gerne mal Mahnungen verschickt, obwohl die Sachen schon bezahlt wurden, jedenfalls hab ich das häufiger aus dem Bekanntenkreis vernommen.

 

[H3llF15H]

Ist nicht das erste Mal. Ist mir vor ein paar Jahren schon mal passiert.

 

[Kampfkeks94]

Kann mir mal bitte jemand mit Datenbankkenntnissen erklären, wie es theoretische dazu kommen kann? Es müsste ja folglich der Login (User-ID) auf falsche Daten zugreifen. Hat da jemand einen Zufallsgenerator eingebaut, der User-IDs generiert und das dann anzeigt? Ist das eine Überbleibsel einer Testumgebung? Solch ein "Feature", mit dem User-IDs auf fremde Daten zugreifen, sollte es eigentlich gar nicht geben, oder?

 

[Cool Master]

ist mir ehrlich gesagt ein Rätsel.

Ganz einfach: Die Unternehmen wollten oder konnten das nicht.

Ich bin mal gespannt ob es eine Strafe gibt. Ob das nun menschliches Versagen war oder nicht es ist ein DSGVO Verstoß der auch entsprechend geahndet werden sollte.

Ergänzung (28. Mai 2021)

@Kampfkeks94

Kann schnell mal passieren wenn man ein Join falsch nutzt.

 

[just_fre@kin]

Klarna wurde mir mit der Zeit zu penetrant - insbesondere was Zahlungsaufforderungen und Mahnungen angeht. Fand das Ganze vom Grundkonzept her gut, aber inzwischen gibt es deutlich bessere Wege zu bezahlen.

 

[Xechon]

Ganz einfach: Die Unternehmen wollten oder konnten das nicht.

Ja, und vielen Unternehmen, die heute Klarna anbieten, war das „elendige Hinterherlaufen von offenen Zahlungen“ halt auch zu doof (oft genug in eigenen Aussagen im B2B gehört). Wenn der Schuh drückt ist der Dienstleister manchmal egal. Hauptsache einer macht es schon…

 

[GrinderFX]

Kann mir mal bitte jemand mit Datenbankkenntnissen erklären, wie es theoretische dazu kommen kann? Es müsste ja folglich der Login (User-ID) auf falsche Daten zugreifen. Hat da jemand einen Zufallsgenerator eingebaut, der User-IDs generiert und das dann anzeigt? Ist das eine Überbleibsel einer Testumgebung? Solch ein "Feature", mit dem User-IDs auf fremde Daten zugreifen, sollte es eigentlich gar nicht geben, oder?

Kann zum Beispiel beim Einsatz eines caching Systems passieren wie Varnish zum Beispiel.
Hat also mit der Datenbank und der ID nichts zutun. So wird dir der Cache des Users davor angezeigt.

 

[nullPtr]

Soso, die komplette Zahlungshistorie sind also keine "sensiblen" Daten? Das sehe ich aber anders.

Außerdem ist diese "menschliches Versagen"-Ausrede sowas von schlecht. Wenn Klarna sowas nicht ausreichend testet ist das ein Komplettversagen der Firma.

 

[Dodo Bello]

Ich würde Sofortüberweisung oder Klarna nicht so gleichgesetzt zu normalen Zahlungsdienstleistern (wie Banken) betrachten - dieses Konzept des Verkaufens der Forderungen an einen Inkassodienstleister ist aus meiner Sicht wenig seriös (wenn auch legal). Durch dieses Dreieck ergeben sich nur für alle suboptimale Seiteneffekte. Weiter nervt mich, dass diese Anbieter ähnlich wie die Schufa Daten über mich Händlerübergreifend sammeln um diese u.a. zur Prüfung der Bonität anzubieten bzw. zu verwenden. Ich bezahle lieber meine Händler direkt über was simples wie ne Bank oder notfalls Paypal ohne die vergleichbaren Paypal-Sonderfunktionen.

 

[KamfPudding]

Wie wird denn der Laden geführt, dass so ein grober Fehler live geht..
Da müssen ja hoffentlich einige Leute geschlafen haben. Ansonsten läuft da grundlegend was schief.

 

[Zer0DEV]

@Kampfkeks94 Stell es Dir eher so vor, dass der SQL-Befehl für die Zuordnung von App-Nutzer mit Datenbank nicht passte.

select 1
from UserData, AppData
where UserData.uname = AppData.aname

 

[Thaxll'ssillyia]

Ist nicht das erste Mal. Ist mir vor ein paar Jahren schon mal passiert.

Und wie immer so wird es auch hier sein: Ein Softwarefehler, da kann man halt nichts machen.

Strafen? Fehlanzeige. Workflow-Änderungen? Fehlanzeige. Notwendige Gesetzesänderungen? Fehlanzeige.

 

[chaosnr1]

Na schön ist das nicht aber noch lange nicht das schlimmste bei dieser Firma. Im Hintergrund werden alle Daten schön an die Schufa "weitergereicht". Und das beste ist - man sinkt bei vielen Käufen automatisch im Rating... Klar na nicht nutzen!

 

[FrAGgi]

Klarna habe ich bisher erfolgreich gemieden wo es nur geht. Waren mir von Anfang an sehr suspekt und hatte aus dem Bekanntenkreis auch schon einige negative Sachen gehört (Stichwort Mahnung für bereits bezahltes).

 

[-equal-]

Oh, erinnert mich an Valve und Steam vor einigen Jahren die so ein ähnliches Problem hatten. Nach dem Login war die Shop Region und Sprache geändert und man hatte einen anderen Account Namen und das Guthaben angezeigt bekommen.

 

[S.Kara]

Habe Klarna bisher 1x genutzt gehabt, war mir aber sehr unsympathisch. Seitdem meide ich es erfolgreich.

Verstehe diesen "Durchbruch" auch nicht. Wenn mir ein Shop keine gute Alternative anbietet gehe ich halt zu einem anderen und zahle ein paar Euro mehr.
Jeder hat seine Macken.

 

[Vexz]

Ist natürlich äußerst unschön, was da passiert ist.

Aber mal abgesehen davon bin ich eigentlich sehr zufrieden mit Klarna. Mahnungen oder dergleichen habe ich bisher noch nie bekommen.
Finde es ultra praktisch, fast alles auf Rechnung kaufen zu können. Mir war es nämlich immer ein Dorn im Auge, bei Online-Käufen erst bezahlen zu müssen und wenn man doch die Ware zurück schickt, erstmal wieder ca. eine Woche warten zu müssen, bis ich mein Geld wieder zurück habe. Die Händler sind gut darin, dir sofort die Kohle abzuknöpfen, brauchen aber länger, um sie dir wieder zu geben. Das ist grade dann nervig, wenn man dann ein alternatives Produkt kaufen möchte, aber einem dazu noch das Geld fehlt, weil die Erstattung noch nicht erfolgt ist. Dank Klarna habe ich dieses Problem nicht mehr.

 

[Beelzebot]

Ich weiß nicht ob Giropay per se sicherer ist, aber einen anderen Banking-Account kann ich damit sicher nicht aufrufen.

Giropay war bloß eine Schnittelle, der Login ging über das klassische Onlinebanking des Kreditinstitutes, welches eine sofortige Zahlungsgarantie an den Händler ausgestellt und die Zahlung anschließend abgewickelt hat. Paydirekt hat Giropay aber übernommen, damit ist der eigentliche Vorteil von Giropay, dass es keinen Dritten im Zhalungsprozess gibt, dahin.

Ganz einfach: Die Unternehmen wollten oder konnten das nicht.

Der Kunde hat es einfach nicht angenommen. Es kam viel zu spät, die Unterstützung war Anfangs mau und den echten Mehrwert an Sicherheit kapiert der durchschnittliche Konsument ohnehin nicht, geschweige denn davon, dass es ihn überhaupt interessiert: "Paypal Express geht doch viel schneller!"

 

[Darkscream]

Finde es ultra praktisch, fast alles auf Rechnung kaufen zu können. Mir war es nämlich immer ein Dorn im Auge, bei Online-Käufen erst bezahlen zu müssen und wenn man doch die Ware zurück schickt, erstmal wieder ca. eine Woche warten zu müssen, bis ich mein Geld wieder zurück habe.

Ich hatte einmal mit Klarna auf Rechnung bezahlt und gleich nach Ablauf der 2 Wochen eine Zahlungserinnerung bekommen. Es war halt nur so das ich die Ware noch nicht mal hatte.
Unter kauf auf Rechnung verstehe ich aber was anderes.