News Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

[benneq]

Kann schnell mal passieren wenn man ein Join falsch nutzt.

Und wenn man auf Auto increment Zahlen setzt, statt auf irgendeine Art von UUID, damit es keine Überschneidungen bei den primary keys gibt.

 

[Cool Master]

Der Kunde hat es einfach nicht angenommen.

Das kommt noch dazu. Das lag aber auch an der Umsetzung der Unternehmen bzw. dem falschem / überhaupt keinem Marketing.

@benneq

Klar kann man alles vermeiden. Man muss aber halt auch die Möglichkeit(en) nutzen. Jeder der mal programmiert hat wird aber wissen, wenn es geht geht es und es wird am besten für 30 Jahre nichts am Code geändert. Ich nehme da die Programmierer von Klarna aber voll in Schutz das ist zu 99,9% wieder ein Fehler im Management damit die Deadline nicht überschritten wird. Das es am Ende deutlich mehr Zeit kostet als es einmal richtig zu machen verstehen die meisten Manager leider nicht...

 

[kachiri]

Ich hatte einmal mit Klarna auf Rechnung bezahlt und gleich nach Ablauf der 2 Wochen eine Zahlungserinnerung bekommen. Es war halt nur so das ich die Ware noch nicht mal hatte.
Unter kauf auf Rechnung verstehe ich aber was anderes.

Die Schuld liegt hier aber beim Händler. Klarna stellt die Rechnung eigentlich erst aus, wenn vom Händler quasi die "Versandmitteilung" erfolgt ist. War bei mir bisher immer so.

Letztlich hattest du aber eine Rechnung mit Zahlungsziel bekommen. Dann nicht zu bezahlen, weil die Ware noch nicht da ist, ist erstmal deine Verfehlung und das dann entsprechend die Zahlungserinnerungen und Mahnungen reinflattern vollkommen logisch.

Ich hatte mit Klarna bisher noch nie Probleme.

 

[Nero2019]

Meine Kontonummer ist nirgendwo Online zu sehen. Amazon prime ist die einzige Ausnahme. Für Online-Dienste (Netflix, DAZN, Saturn usw) verwende ich die Gutscheinkarten.

 

[QuackerJJ]

Wieso Giropay oder Paydirekt nicht eine bessere Verteilung gefunden hat und stattdessen Unternehmen wie Sofortüberweisung oder Klarna als Zahlungsmöglichkeit angeboten werden und wieso Rechnung heutzutage fast immer über Klarna laufen muss, ist mir ehrlich gesagt ein Rätsel. Ich weiß nicht ob Giropay per se sicherer ist, aber einen anderen Banking-Account kann ich damit sicher nicht aufrufen. Dazu kommt, dass Klarna gerne mal Mahnungen verschickt, obwohl die Sachen schon bezahlt wurden, jedenfalls hab ich das häufiger aus dem Bekanntenkreis vernommen.

Klarna hat mir mal Gerichtsvollzieher aufn Hals gehetzt obwohl ich nachgewiesen habe das schon lange bezahlt war....dieser Verein von Vollidioten ist für mich Ausschlusskriterium beim Onlineshoppen.

 

[Katharsas]

Giropay war bloß eine Schnittelle, der Login ging über das klassische Onlinebanking des Kreditinstitutes, welches eine sofortige Zahlungsgarantie an den Händler ausgestellt und die Zahlung anschließend abgewickelt hat. Paydirekt hat Giropay aber übernommen, damit ist der eigentliche Vorteil von Giropay, dass es keinen Dritten im Zhalungsprozess gibt, dahin.



Der Kunde hat es einfach nicht angenommen. Es kam viel zu spät, die Unterstützung war Anfangs mau und den echten Mehrwert an Sicherheit kapiert der durchschnittliche Konsument ohnehin nicht, geschweige denn davon, dass es ihn überhaupt interessiert: "Paypal Express geht doch viel schneller!"

Sowohl bei PayPal als auch bei PayDirekt muss man aber zumindest keinem Dritthersteller seine Onlinebanking-Zugangsdaten übermitteln. Das ist aus meiner Sicht ein No-Go und deshalb nutze ich weder Klarna noch Sofortüberweisung.

PayDirekt scheint mittlerweile zumindest bei deutschen Shops sehr oft angeboten zu werden und funktioniert für mich meistens gut. Wenn man Cookies löscht merkt er sich auch nix (muss jedes mal meine Bank eingeben), und Einloggen tut man sich wie gesagt direkt auf der Seite der eigenen Bank, nicht auf einer Drittwebseite.

 

[Termy]

Wieso Giropay oder Paydirekt nicht eine bessere Verteilung gefunden hat und stattdessen Unternehmen wie Sofortüberweisung oder Klarna als Zahlungsmöglichkeit angeboten werden und wieso Rechnung heutzutage fast immer über Klarna laufen muss, ist mir ehrlich gesagt ein Rätsel

DAS ist mir auch ein ziemlicher Dorn im Auge...natürlich will ich einen wenig vertrauenswürdigen Zwischenhändler in meinen Zahlungen dazwischen schalten

 

[Yumix]

Noch nie von Klarna gehört, aber nach dieser Meldung werde ich die sicher meiden. 0 Qualitätssicherung. Insbesondere Bereiche welche die Authentisierung und Autorisierung betreffen, sollte doppelt und dreifach getestet werden.

 

[ChrisHoep]

Sowohl bei PayPal als auch bei PayDirekt muss man aber zumindest keinem Dritthersteller seine Onlinebanking-Zugangsdaten übermitteln. Das ist aus meiner Sicht ein No-Go und deshalb nutze ich weder Klarna noch Sofortüberweisung.

Das reine Bezahlen funktioniert bei Klarna doch auch ohne Einloggen und Onlinebanking-Informationen. Du bekommst eine Mail mit allen relevanten Daten und kannst die Überweisung händisch anstoßen.

Oder hat sich das geändert?

 

[shinXdxd]

Mit Als erstes hatte am Donnerstag die Twitter-Nutzerin @esraefe davon berichtet. Sie hätte sich nach dem Login in der App nicht in ihrem eigenen Account,

Das Risikomanagement habe sich als „unzureichend“ herausgestellt, so Siemiatkowski.

@Jan Ich hab dir mal die 2 Fehler korrigiert

BTT: Bin ich forh das ich den Dienst nicht verwende, ist nur die Frage wann ich von denen Lese. Wer Wert auf seine Daten legt muss wohl Eremit werden.

 

[Snowi]

Na schön ist das nicht aber noch lange nicht das schlimmste bei dieser Firma. Im Hintergrund werden alle Daten schön an die Schufa "weitergereicht". Und das beste ist - man sinkt bei vielen Käufen automatisch im Rating... Klar na nicht nutzen!

Normale Rechnungskäufe gehen nicht in das Schufa-Rating rein. Ratenkäufe schon, weil es quasi Kredite sind. Da läuft nichts anders als überall sonst. Wenn du in Shop X via Ratenzahlung bezahlst, geht das auch direkt zur Schufa.
Was man von der Schufa bzw dieser Praxis hält ist mal dahin gestellt, aber Klarna macht hier nichts anderes als alle anderen auch.

Ich hatte einmal mit Klarna auf Rechnung bezahlt und gleich nach Ablauf der 2 Wochen eine Zahlungserinnerung bekommen. Es war halt nur so das ich die Ware noch nicht mal hatte.
Unter kauf auf Rechnung verstehe ich aber was anderes.

Wie schon jemand schrieb: Das ist dann Fehler des Händlers und nicht von Klarna. Ich hab die Rechnung bisher immer erst mit dem Versand des Artikels bekommen, und damit zusammen auf die 14 Tage Zahlungsfrist. Wenn der Händler das sofort bei Klarna freigibt, hält er sich nicht an die Regeln. Dann würde ich das bei Klarna dem Support melden und dem Händler sagen, dass er das in Zukunft bitte zu unterlassen hat.
Wie der Support damit bei Klarna umgeht weiß ich nicht, aber man erreicht ihn problemlos, da ich mal ein anderes Problem hatte und ihn kontaktieren musste.

Oder hat sich das geändert?

Kommt auf den Service an. Klarna bietet das was du meinst an, aber auch Sofortüberweisung (Den Laden haben sie ja damals gekauft). Kommt auf den Shop an, bzw was er implementiert hat.

 

[Baxxter]

Fand es eh schon komisch, dass man sich über die App ohne PW-Eingabe einloggen kann. FaceID bzw. E-Mail-Adresse reicht komischerweise völlig aus. Nunja, werde die Dienste dieser Firma in Zukunft besser meiden, auch wenn laut deren Info keine Kontodaten einsehbar waren.

Aber eben nur laut deren Info...

 

[Chilisidian]

Fand es eh schon komisch, dass man sich über die App ohne PW-Eingabe einloggen kann. FaceID bzw. E-Mail-Adresse reicht komischerweise völlig aus. Nunja, werde die Dienste dieser Firma in Zukunft besser meiden, auch wenn laut deren Info keine Kontodaten einsehbar waren.

Aber eben nur laut deren Info...

Bei mir trat der Fehler ebenso auf, weil ich zufällig genau in den Moment was zahlen wollten. Es war der Name, die Kontaktmöglichkeit, die Bestellhistorie samt Ratenkäufe und die hinterlegte Zahlungsart einsehbar. Von letzterer aber nur die letzten drei Ziffern, der Rest war weggepunktet.

 

[DaZpoon]

Ich kann ohnehin nicht ganz nachvollziehen dass solche Methoden wie Klarna und Sofortüberweisung sie anwenden, legitim sind. Eigene Homebanking Daten aushändigen - What? Und im gleichen Zuge appellieren, dass Omas ihre PIN nicht auf die Karte schreiben sollen bzw. vor 2 Jahren 2-Faktor-Authentifizierung ohne unsicherer SMS aufdrücken wobei Faktor 1 hier schon wieder egalisiert wird? Mir wäre das schon als Betreiber viel zu heikel mit solchen Daten umgehen zu müssen.

 

[Seiku]

Bei denen ist der Masterstand dann wohl auch der Produktiv laufende Stand?! Es wirkt so als seien Überlegungen wie, Abbranchen und diesen Stand dann testen, fehler fixen, testen usw und dann aufspielen, gar nicht gemacht worden. Da haben welche "Move fast and break things" wohl etwas zu ernst genommen.

 

[Chilisidian]

Wieso Giropay oder Paydirekt nicht eine bessere Verteilung gefunden hat und stattdessen Unternehmen wie Sofortüberweisung oder Klarna als Zahlungsmöglichkeit angeboten werden und wieso Rechnung heutzutage fast immer über Klarna laufen muss, ist mir ehrlich gesagt ein Rätsel.

Es hat sich durchgesetzt aus denselben Gründen wie immer, weil es sehr komfortabel ist. Seit es Klarna gibt, bieten die meisten Shops, vor allem kleinere, überhaupt erst Kauf auf Rechnung an. Dass das für den Kunden gut ist, brauche ich ja nicht erklären.

Weiterhin ist das Zahlungsziel recht komfortabel bei 14 Tagen, früher war das meist sofort nach Erhalt, wenn diese Zahlungsart überhaupt angeboten wurde. Der Prozess ist außerdem mit 2 Klicks erledigt. Statt in der Banking App erst die ganzen Daten eintippen zu müssen wie IBAN etc. was eben super nervig ist.

Bestes Beispiel Sportscheck, die haben noch nichtmal einen QR Code auf der Rechnung, mit dem die Felder bei der Überweisung automatisch füllen kann. Fotoüberweisung ist je nach Bank ziemlich unzuverlässig bei der Erkennung.

Man muss das alles nicht gut finden, der Fehler gestern war auch absurd. Aber objektiv bietet die Händlern und Kunden einen großen Mehrwert, daher setzte es sich durch.

 

[tHe442]

Ich sehe den Punkt, dass es gerade kleinere Händler vor Zahlungsausfällen schützen kann. Mir sind meine Daten nur eben wichtiger als die komfortable Zahlung via Klarna, außerdem habe ich eben aus nächster Nähe von schlechten Erfahrungen gehört, daher mein negativer Kommentar.

Der Prozess ist außerdem mit 2 Klicks erledigt. Statt in der Banking App erst die ganzen Daten eintippen zu müssen wie IBAN etc. was eben super nervig ist.

Bequemlichkeit sollte allerdings nicht vor Datenschutz stehen bzw. eigentlich sollten beide Dinge einher gehen können. Wobei ich Online-Banking jetzt auch nicht unkomfortabel finde.

 

[Fliz]

Ich musste das einmal nutzen, weil es bei einem Shop die einzige Möglichkeit war zeitnah etwas zu kaufen. Leider war nach 2 Wochen die Ware nicht da, dafür eine Mahnung von dem Verein hier.. nö nie wieder.

 

[Z_E_R_O]

Kann zum Beispiel beim Einsatz eines caching Systems passieren wie Varnish zum Beispiel.
Hat also mit der Datenbank und der ID nichts zutun. So wird dir der Cache des Users davor angezeigt.

Hätte es dann aber nicht auch in der Web-Version diesen Fehler geben müssen? Ich kann mir vorstellen, dass es an einem Fehler bei der Implementierung von JWT-Token gekommen ist, vorausgesetzt sie nutzen die.

 

[camlo]

Für die ganz doofen wie mich könnte man noch dazuschreiben wer "Klarna" ist und ob man diesen unbedingt kennen muss