90.000 Klarna-Kunden betroffen: Login lieferte Einsicht in Daten von Dritten

Der schwedische Zahlungsanbieter Klarna dürfte den meisten Lesern wohl ein Begriff sein, da er für viele Shops die Abwicklung der Zahlungsart „Rechnung“ übernimmt. Erst im Frühjahr startete man hierzulande mit eigenem Girokonto inklusive Apple- und Google-Pay-Funktionalität. Über die sozialen Medien werden nun Rufe laut, dass Nutzer beim Login in den eigenen Klarna-Account in fremden Accounts landen. Dort abrufbar sind – so die Nutzerberichte – neben Zahlungsinformationen auch sämtliche persönlichen Informationen, welche Klarna vorliegen. Darunter Bankdaten, Adressen, Telefonnummern sowie die Einkäufe. Allem Anschein nach ist lediglich die Klarna-App von diesem Sicherheitsproblem betroffen und der Login über die Webseite funktioniert wie gewollt.

Da scheint wohl ein größeres Problem vorzuliegen, denn auch in den Reihen unserer Nutzer hat man den Login via App unterdessen abgeschaltet und leitet auf die Webseite zum Einloggen weiter: Der Login bei der Klarna-App für Nutzer ohne Girokonto alleine zum Zahlen von Rechnungen wird derzeit unterbunden. Jener ist oftmals auch unter dem Branding „Sofort“ bzw. „Sofortüberweisung“ der Sofort AG gängig, welche Klarna bereits im Jahr 2014 übernahm.

Klarna hat zwischenzeitlich ein Statement zum besagten Vorfall in der App abgegeben. Demnach sei der Fehler selbstverschuldet und betraf rund 90.000 Nutzer über einen Zeitraum von einer knappen halben Stunde. Wie oben beschrieben führte der Fehler dazu, dass beim Login auf zufällige, fremde Benutzerdaten weitergeleitet wurde. Die Lücke sei nach Angaben von Klarna erst am heutigen Morgen durch ein fehlerhaftes Update entstanden. Es gab also zu keinem Zeitpunkt einen externen Eingriff auf die Systeme von Klarna. Die zuständigen Behörden seien inzwischen über den Vorfall informiert. Als Workaround hat man bis zum vollständigen Beheben des Fehlers vorerst die Benutzeroberflächen abgeschaltet. Dies konnten wir, wie gesagt, nachvollziehen.

Betroffen waren demnach lediglich „reguläre“ Klarna-Kunden, nicht solche die eine Debitkarte nebst Girokonto beim schwedischen Zahlungsanbieter haben. Nach den Angaben von Klarna seien jedoch keine Karten- oder Bankdaten einsehbar. Der angehängte Nutzerbericht tönt da etwas anders.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. PayPal-Kaffeespende an den Autor. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. Sehr schlecht. Sowas darf und sollte Zahlungsdienstleistern einfach nicht passieren.

  2. Menschlicher Fehler, kann passieren. Frage mich nur, warum bei solch einem Update kein Vier Augen Prinzip herrscht. Das ist grob fahrlässig, wenn solche Konsequenzen möglich sind.

    • Du widersprichst dir irgendwie selbst. Ja es mag menschlich Fehler geben. Aber genau um solche in produktiven Umgebungen zu verhindern gibt es verschiedene Mechanismen.

      • Ich sehe da keinen Widerspruch.
        Wie gesagt, Vier Augen Prinzip. Damit lassen sich menschliche Fehler vermeiden oder zumindest das Risiko auf ein Minimum reduzieren.

  3. Bestätigt mich nur wieder darin nichts mit Klarna zu machen, auch wenn andere Dienstleister natürlich auch nicht davor gefeit sind.

  4. Als ich das letzte Mal mit Klarna bezahlt habe , ist folgendes passiert:

    Ich war auf der Bestellseite mit meinen echten Daten eingeloggt. Und wollt mit Klarna zahlen. Musste meine Bankingdaten eingeben und wurde aber auf einer separate Seite weitergeleiteter. Ich wurde dann auf der Shopping-Seite wo ich eingeloggt war, mit meinem Pseudonym angesprochen, das ich mir bei Lieferando gegeben hatte, wo ich auch oft mit Klarna bezahlt habe.

    Auf meine Nachfrage, wie die Shoppingseite auf mein Lieferando-Pseudonym kommt: Zufall. Klarna selbst meinte auch es sei Zufall.

    Seitdem zahl ich mit PayPal. Möglichst immer

    • Thomas Höllriegl says:

      Ich habe auch negative Erfahrungen mit Klarna gemacht. Zwei Mal hintereinander! Das erste Mal weiß ich gar nicht mehr so genau, ist mir jedoch negativ in Erinnerung. Als beim zweiten Mal eine Mahnung trotz bezahlter Rechnung kam und ich erst wieder Zeit aufwenden musste, um das abzuklären, war die Sache besiegelt. Seitdem zahle ich nicht mehr über Klarna.

  5. Danke für den Hinweis. Ich habe gleich mal nachgeschaut und wollte mein Konto dort kündigen. Das ist aber eigentlich nicht vorgesehen. Die Daten bleiben dabei trotzdem bei klarna. Man kann aber die Löschung seiner Daten beantragen. datenschutz@klarna.de
    Klarna war mir immer suspekt und jetzt lasse ich es lieber ganz bleiben.

    • Dir ist ein Zahlungsdienstleister schon immer suspekt und du hast ihn bis jetzt trotzdem genutzt? Muss man nicht verstehen.

  6. Undertaker says:

    Zu Anfang von Klarna in Deutschland gab es schon mächtig Theater, weil Klarna im großen Stil Leuten Mahnungen geschickt und Inkassobüros auf den Hals gehetzt hatte, obwohl die rechtzeitig ihre Klarna-Rechnungen bezahlt hatten. Die hatten shcon damals ihre IT nicht im Griff (dafür aber das Mahnverfahren). Das war mir damals schon so suspekt, dass ich mit diesem Unternehmen niemals Geschäfte machen wollte (und auch nicht machen werde). Diese Meldung bestärkt mich nur darin, dass diese Entscheidung richtig war. Einige eShops, die inzwischen von normaler Rechnung auf Klarna umgestellt haben und keine „nicht Klarna“-Zahlungen mehr anbieten, boykottiere ich seitdem.

    • Ach? Ich dachte damals, ich wäre ein Einzelfall. Hatte gar nicht mitbekommen, dass das bei denen „normal“ war. Auf jeden Fall war diese erste Erfahrung mit Klarna auch meine letzte. Wer als Zahlungsdienstleister nicht in der Lage ist, Zahlungen zu verbuchen, bei dem braucht man sich auch über sonst nichts zu wundern…
      Wenn ein Händler nur Klarna anbietet zum zahlen, kaufe ich eben woanders.

    • Ich habe das mit den ungerechtfertigten Mahnungen auch verfolgt und deshalb niemals Klarna genutzt. Ebenso Sofortüberweisung, ich habe das nie ausprobiert, weil man angeblich seine Zugangsdaten für’s Online-Banking eingeben soll. Das war mir alles zu suspekt, und wenn ein Händler nichts anders anbietet, dann kaufe ich da nicht.

  7. NanoPolymet says:

    Gibt dann erst mal die gelbe Karte.
    Direkt alle Zelte abzubrechen finde ich nicht gerechtfertigt.

    Klarna hat vorbildlich reagiert. Mir ist da spontan kein anderes Unternehmen bekannt mit ähnlichen Problemen die nicht direkt mit Nebelkerzen Umsicht geworfen haben.

    Der Fehler wurde eingesehen, man hat relativ schnell reagiert. Lieber so als von Dienst zu Dienst zu wechseln die dann nichts machen.

    Sollte sich so ein Problem in absehbarer Zeit aber wiederholen würde ich auch dadrüber nachdenken mein Account da zu löschen.

    In den Tweet kann ich nicht sehen das man auf Kartennummern Zugriff hatte.

    • Unternehmen mit diesen „Problemen“ sind gesetzlich verpflichtet, ihre Kunden darüber zu informieren.
      Die Information über das Datenleck ist daher nicht „vorbildlich“, sie ist normal.

  8. Einfach mal spekulieren, was Klarna das an Bußgeld kosten könnte. Der Schweregrad des Datenschutzverstoßes ist eher gering, den Betroffenen sind nur leichte Nachteile entstanden, ausserdem hat Klarna schnell reagiert um den Schaden zu mindern. Trotzdem haben technische oder organisatorische Mängel zu dem Verstoß geführt, das wird sicher ein Bußgeld geben. Bei 700 Mio. Euro Jahresumsatz sind das zwischen zwei und vier Prozent davon, es könnte also 14 – 28 Mio Euro kosten.

  9. Wolfgang D. says:

    Immerhin wurde zugegeben, dass es ein eigener Fehler war – aber erst nachdem das öffentlich für jeden sichtbar gemacht wurde.

    Also wie gehabt, der Kunde wird sicherheitsmäßig drangsaliert und ihm werden die Fehler der Netzdienste bis hin zur Unterstellung zugeschoben, solange nicht der gnadenlose Cpt. Obvious zuschlägt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.