[English]Ich weiß schon, warum ich keine Finanzdienstleister oder Fintechs per App an meine Bankkonten heran lasse. Nach Medienberichten kam es beim schwedischen Zahlungsdienstleister Klarna zu einer schweren Datenschutzpanne. Nutzer, die die Klarna-App verwendeten, konnten am heutigen Donnerstag-Vormittag (27.5.2021) für kurze Zeit die Daten und Transaktionen fremder Benutzer einsehen. Der Anbieter hat die App nach bekanntwerden der Datenpanne offline genommen.
Anzeige
Klarna ist ein schwedischer Zahlungsanbieter mit Hauptsitz in Stockholm. Das Unternehmen bietet Zahlungslösungen im Bereich E-Commerce an. Die Kernleistung besteht darin, die Zahlungsansprüche der Händler zu übernehmen und ab diesem Zeitpunkt deren Kundenzahlungen abzuwickeln. Insgesamt greifen den Angaben des Unternehmens zufolge 200.000 Online-Händler in 17 Ländern auf Klarna zurück, sodass 90 Millionen Endverbraucher die Zahlungsmethoden des Unternehmens nutzen.
Auf der deutschen Webseite wirbt Klarna für seine App, die Einkäufe intelligenter machen können (Smooth Shopping). Lieblingsartikel lassen sich speichern und teilen, Einkäufe lassen sich verwalten und bezahlen – und als Karotte gibt es Sale-Alerts und -Deals.
Die Datenpanne
Ich bin über den nachfolgenden Tweet auf die gravierende Datenpanne aufmerksam geworden, die inzwischen vom schwedischen Zahlungsdienstleister Klarna bestätigt wurde.
Disruption to the Klarna consumer app
Monitoring – Klarna log in is now available for all platforms in all locations.
May 27, 17:47 CESTUpdate – Consumers can now login to Klarna at app.klarna.com. We will provide further updates regarding our mobile apps in the near future.
May 27, 16:24 CESTUpdate – Consumers in the EU can now login to Klarna at app.klarna.com. We will provide further updates regarding both other regions and our mobile apps in the near future.
May 27, 16:15 CESTUpdate – We are continuing to investigate issues with the Klarna consumer app. In the meantime, customers can still continue to make purchases using Klarna. We apologize for the disruption.
May 27, 14:02 CESTUpdate – We are currently experiencing system disturbances caused by a technical error. We are doing our utmost to return our system and services to full capacity and apologize for any inconvenience this is causing. While we are addressing the issue, customers are unable to log into the app.
May 27, 12:01 CESTInvestigating – Technical teams are investigating the issue.
May 27, 11:32 CEST
Nach einem App-Update stellten Benutzer fest, dass sie in der App plötzlich die Daten und Transaktionen fremder Benutzer angezeigt bekamen. Auf Twitter beschwerten sich zahlreiche Benutzer über dieses Verhalten.
Anzeige
Wer sich mehrfach aus- und wieder einloggte, bekam jeweils die Daten unterschiedlicher Kunden angezeigt. Laut Medienberichten (und hier) sind 90.000 Nutzer (Rund 0,1 Prozent der Konten) betroffen gewesen. Es heißt, dass es sich um einen "menschlichen Fehler" handele. Dieser Fehler wurde durch ein um 10:50 Uhr eingespieltes Update verursacht worden und habe 31 Minuten angedauert, so das Unternehmen. Im verlinkten Artikel auf Golem wird die Stellungnahme von Klarna so zitiert:
Der Fehler führte dazu, dass zufällige Benutzerdaten beim Zugriff auf unsere Benutzeroberfläche für falsche Nutzer*innen sichtbar wurden. Es ist uns äußerst wichtig zu betonen, dass der Zugriff auf die Daten vollkommen willkürlich war und keinerlei Karten- oder Bankdaten angezeigt wurden (verschlüsselte Daten waren sichtbar). […]
Gemäß den DSGVO-Standards wurden nur nicht-sensible Daten offengelegt. Wir erkennen jedoch an, dass das, was als nicht sensibel gilt, sehr individuell empfunden wird, und wir setzen unsere eigenen Standards stets höher als die gesetzlicher Regelungen wie der DSGVO.
Klarna schreibt, dass es nicht möglich gewesen sei, auf die Daten eines bestimmten Nutzers zuzugreifen. Ob das Ganze nach DSGVO relevant war oder nicht, sollten die Datenschutzaufsichtsbehörden beurteilen – ich meine, es ist schon DSGVO-relevant, wenn ich die Transaktionsdaten Dritter – auch wenn sie zufällig waren – einsehen kann. Und Benutzer widersprechen auch der Darstellung von Klarna. Das Unternehmen ist übrigens Wiederholungstäter, denn bei Recherchen bin ich auf diesen Artikel von Feb. 2020 gestoßen. Seinerzeit ist Nutzern von Klarna aufgefallen, dass die Eingabe der Postleitzahl und der E-Mail-Adresse ausreichte, um Bestellformulare mit zusätzlichen Daten zu füllen. Die Formulare werden dann automatisch mit Adressdaten, oder auch Geburtsdatum oder Telefonnummer vorausgefüllt. Und im Oktober 2020 leiteten Datenschutzaufsichtsbehörden laut BBC eine Untersuchung ein, weil das Unternehmen einen Newsletter an Nutzer ohne deren Einwilligung verschickte.
Ähnliche Artikel:
Datenleck bei Lufthansa Miles&More-Konten?
Nachträge zum Miles&More-Sicherheitsvorfall
Passagierdaten der Star Alliance (Lufthansa & Co.) bei Sita-Hack erbeutet
Horror: Wenn der eCommerce-Shop die Kundendaten verwürfelt
Eurowings: Schwere Datenpanne beim Onlineportal
Anzeige
Die Stellungnahme von Klarna ist natürlich, wie könnte man es auch anders erwarten, dreist gelogen.
Denn es konnten Telefonummern, Adressen, Kreditkartendaten usw. eingesehen werden.
Das stimmt. Eine fremde Frau rief mich auf meinem Handy an, ihr wurde mein Name und meine Handynummer angezeigt. Wir waren beide entsetzt.
Erinnert mich an die Datenpanne bei Miles&More (in 12/2019) als man auch die Meilenkonten anderer Nutzer einsehen konnte.