Der mobile Bankdienst Klarna hatte kürzlich ein ernsthaftes Sicherheitsproblem, das es Nutzern seiner App offenbar gestattete, die Konten anderer Kunden sowie deren gespeicherte Informationen zu sehen, wenn sie sich einloggten.
Klarna wurde 2005 gegründet und ist eine schwedische Bank, die es ihren Nutzern ermöglicht, Einkäufe zu tätigen und diese im Laufe der Zeit zu finanzieren, ähnlich wie PayPal's Pay in 4 (ein "jetzt kaufen und später bezahlen"-Feature) funktioniert.
Als sich die Kunden des Unternehmens in die App einloggten, bevor das Problem behoben wurde, sahen sie die Kontoinformationen anderer Nutzer, anstatt ihre eigenen Konten zu sehen. Um die Sache noch schlimmer zu machen, berichteten mehrere Klarna Kunden auf Twitter, dass sie jedes Mal, wenn sie sich einloggten, Zugriff auf ein anderes Konto erhielten.
Als die Nachricht über das Problem bekannt wurde, nahm das Unternehmen seine mobile App offline und als Kunden versuchten, sich einzuloggen, sahen sie eine Meldung, die lautete: "Sorry, die Klarna App ist derzeit wegen Wartungsarbeiten nicht verfügbar".
Selbstverschuldeter Unfall
Der CEO von Klarna, Sebastian Siemiatkowski, hat nur wenige Stunden nach der Entdeckung des Bugs eine schriftliche Stellungnahme zu dem Problem veröffentlicht und seine Kunden mit einer detaillierten Erklärung versorgt.
In seinem Statement erklärte Siemiatkowski, dass der Vorfall selbstverschuldet war und dass keine sensiblen Nutzerdaten preisgegeben wurden und sagte:
"Vertrauen ist der Kern von Klarna und Banking. Deshalb sind wir traurig und frustriert, Sie über einen selbstverschuldeten Vorfall zu informieren, der für 31 min nicht mehr als 9.500 unserer App-Nutzer betraf. Der Fehler führte dazu, dass zufällige Nutzerdaten beim Zugriff auf unsere Benutzeroberflächen an den falschen Nutzer weitergegeben wurden. Es ist wichtig zu erwähnen, dass der Zugriff auf die Daten völlig zufällig war und keine Daten mit Karten- oder Bankdaten angezeigt wurden (verschleierte Daten waren sichtbar)."
Da Klarna seinen Sitz in Schweden hat, ist es möglich, dass das Unternehmen unter der DSGVO mit Geldstrafen konfrontiert werden könnte, obwohl Siemiatkowski in seiner schriftlichen Erklärung darauf hinwies, dass die offengelegten Daten unter der Verordnung als "nicht sensibel" eingestuft würden.
Nach der Untersuchung des Problems kam Klarna zu dem Schluss, dass der Fehler durch menschliches Versagen* in die Systeme des Unternehmens gelangt ist und nicht durch einen Cyberangriff oder eine externe Datenverletzung.
Via BleepingComputer
* Link englischsprachig
