News Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

[Baxxter]

Du scheinst nicht zu wissen, was FaceID ist, oder?

Doch, das weiß ich.

 

[Skjöll]

Ich hatte mal einen Fall, der noch gar nicht so lange her ist. Ich wollte ein Abo abschließen, habe zuerst klarna genommen, obwohl ich von denen noch nichts gehört hatte. Und nie Kontakt hatte. Ging dann nicht, irgendwie kam immer die Meldung "technische Schwierigkeiten" - also bin ich zu paypal und dort ging es.

Irgendwie habe ich die Idee, mal mit der DSGV zu sehen, was das Problem war. An Auskunfteien kann es eigentlich nicht liegen.

 

[whigga]

Doch, das weiß ich.

Und inwiefern ist es dann "komisch", sich mittels FaceID in eine App einloggen zu können, ohne dass zusätzlich das Passwort abgefragt wird?

 

[0xffffffff]

Kann mir mal bitte jemand mit Datenbankkenntnissen erklären, wie es theoretische dazu kommen kann?

Ach das geht alles relativ schnell.

Man ändert z.B. das Datenbankschema: Neue Primärschlüssel, neue Struktur, teilt Datensätze auf oder führt sie zusammen, sowas halt. Und - warum auch immer - gibt es bei solchen Dingen die wildesten Sachen wie z.B. "Ey, lass mal alle Kunden/Datensätze die Kriterium XY erfüllen in den Sequenzbereich 100000-200000 packen, dann sind die Abfragen einfacher/schneller!" oder "lass mal jedem Datensatz nach dem neuem Schema ein Offset X geben" und wehe da gibts dann irgendwann Überschneidungen die man anfangs für unmöglich hielt. Solche Leichen sind dann vergessen, oder werden nicht bedacht und ganz schnell würfelt man wild Daten zusammen. Den vermeintlich "guten Ideen" sind da keine Grenzen gesetzt.

Oder man mustert alte Hi/Lo-Implementationen aus, führt Sharding/Partitionierung ein...

Wäre schon spannend da mal eine Erklärung zu bekommen wie das geschehen konnte. Manchmal scheitert sowas auch einfach an Prozessen. Wenn Entwickler und die Qualitätssicherung beispielsweise nie gegen echte Daten aus dem Produktivsystem testen können/dürfen, da z.B. Finanz- und Gesundheitsdaten idR. sensibel sind und die freigegebenen Testdaten vielleicht nicht alle Fälle abdecken. Aber genug semi-ot.

 

[proko85]

Es sollte eine Art TÜV für alle Unternehmen geben, die Persönliche und Personenbezogene Daten erheben und verarbeiten. Ohne einer Abnahme und einer Zertifizierung sollten diese Unternehmen keine entsprechenden Dienste anbieten dürfen. Die Zertifizierung sollte ein Sicherheitskonzept beinhalten, welches unter anderem auch solche Fälle unmöglich macht.

Es ist ja jetzt schon so, dass über uns allen die Augen der US-Großkonzerne wachen, ohne dass dort jemand mal die Grenzen setzt und sie quasi im Hintergrund alles mögliche sammeln und auswerten.