Selbstverschuldet, über 30 Minuten hin
90.000 betroffen: Klarna bestätigt Fremdkonten-Zugriff
Der schwedische Zahlungsanbieter Klarna hat die massiven Datenschutzprobleme, über die ifun.de am Donnerstagmittag berichtete, offiziell bestätigt und erste Details zu dem Fehler kommuniziert, der zahlreichen Klarna-Kunden tiefe Einblicke in zufällige Konten gestattete.
Wie eine Unternehmenssprecherin auf Nachfrage mitteilte, habe es sich bei der Darstellung der Fremdkonten um einen selbstverschuldeten Vorfall gehandelt, der etwa 30 Minuten lang dazu führte, dass Anwendern der Klarna-Benutzeroberfläche zufällige Benutzerdaten angezeigt wurden.
90.000 Accounts für 30 Minuten betroffen
Laut Klarna soll die Vertauschung der Kontodaten allerdings nicht alle Anwender und Anwenderinnen betroffen haben sondern ausschließlich für 0,1% der Kunden, also für ca. 90.000 Accounts sichtbar gewesen sein.
Zwar betonen die Schweden, dass weder Karten- noch Bankdaten angezeigt wurden, räumen aber ein, dass verschlüsselte Daten sichtbar waren. Gegenüber ifun.de erklärt eine Klarna-Sprecherin:
Heute Morgen um 11:04 Uhr haben wir festgestellt, dass ein 15 Minuten zuvor eingespieltes Update zu einem Fehler geführt hat, von dem unsere App-Nutzer*innen betroffen waren. Unsere Zahlungsdienste, die Händlerschnittstelle sowie die Klarna Card waren hiervon nicht betroffen. Um 11:20:42 Uhr galt der Fehler als eingedämmt und behoben.
Selbstverschuldeter Vorfall
Aus Kundensicht ist positiv zu bewerten, dass es sich nicht um einen externen Eingriff in das System handelte. Fehler bei Wartungsarbeiten sind im Bankenbereich zwar ebenso inakzeptabel aber definitiv das geringere Übel. Klarna hat angegeben, sich aufrichtig für jegliche Unannehmlichkeiten entschuldigen zu wollen, die sich durch die heute Mittag beobachteten Aussetzer eingestellt haben.
Das Unternehmen unterstreicht, dass man den Vorfall sehr ernst nehmen würde und auf klarna.com darüber informieren werde, wie man mit den Daten der eigenen Kunden umgeht. Zum heutigen Vorfall bietet die Homepage des Zahlungsanbieters eine Stellungnahme des Klarna-CEOs Sebastian Siemiatkowski an.
Klarna wurde 2005 in Schweden gegründet. Seit Mitte Februar bietet das Unternehmen hierzulande ein Girokonto mit Apple-Pay-Integration an.
Treten in die Fußstapfen von N26
Ich kenne ähnliche Probleme von Commerzbank & Deutsche Bank, von N26 nicht.
Sorry, ich muss mich korrigieren. Commerzbank und Comdirect. ;-)
Da sind sie schon lange.
Man muss nur mal versuchen, einen Kontoauszug mit den Buchungen der letzten Monate zu bekommen (incl Buchungsdatum). Ich warte seit einem Jahr drauf.
Bitte um Link, wann der N26 so etwas (oder ähnliches) passiert ist. Danke !
Kein link, dann fake.
https://finanz-szene.de/fintech/neuerliche-vorwuerfe-gegen-n26-beim-thema-datenschutz/
20 Sekunden!
@Axel
Ist halt eine komplett andere Thematik?
Unter datenschutz@klarna kann man sein Konto löschen:
Hier ein Muster:
Löschung meiner personenbezogenen Daten
Sehr geehrte Damen und Herren,
ich bitte Sie gemäß § 35 Bundesdatenschutzgesetz (BDSG) alle Daten, die Sie von mir gespeichert haben, unverzüglich zu löschen. Darüber hinaus möchte ich sichergestellt haben, dass die Löschung auch von den Stellen durchgeführt wird, denen Sie meine Daten übermittelt haben.
Bitte bestätigen Sie mir kurz, dass die Datenlöschung umfänglich vollzogen wurde.
Sollten Sie dieses Schreiben ignorieren, werde ich mich an den zuständigen Landesdatenschutzbeauftragten wenden. Außerdem behalte ich mir weitere rechtliche Schritte vor.
Mit freundlichen Grüßen
Vielen Dank! Welche Daten werden benötigt um mein Konto löschen zu lassen?
Top!
Dieses Muster ist zwar nett gemeint. Gelöscht werden deine Daten dennoch erst nach Kündigung des Kontos sowie Ablauf der gesetzlichen Aufbewahrungsfrist ;)
Albern. Sie haben einen Fehler gemacht und sind transparent damit umgegangen, was ich persönlich sehr als sehr vorbildlich erachte. Anderen passieren auch Fehler. Also was willst du damit aussagen? Die Macht des kleinen Nutzers?
Bei einer Bank darf so etwas nicht passieren und albern ist es schon mal erst Recht nicht.
Kündigen ist die beste Lösung.
kenne mich hier nicht wirklich aus, aber sind Datenlöschungen bei Bankaccounts rechtens? ich dachte diese müssen zwecks Geldwäschereigestztes um die 5 Jahre gespeichert werden…
klarna ist keine Bank. Alle Daten die revisionssicher gelagert werden müssen, liegen bei der Bank die das Konto führt, das mit dem klarna-Account verknüpft ist.
Falsch, mittlerweile ist Klarna eine Bank, mit Zulassung in Deutschland
Viel Spass. Ich hab 8 oder 9 Anläufe gebraucht um mein Konto zu löschen. Die sagen so Sachen wie „Recht auf Vergessen“. Ganz merkwürdiger Kundendienst. Probiert es mal. ;-). Vielleicht hat ja jemand ähnliche Erfahrungen gemacht. Bin froh das ich da weg bin.
Der Kundenservice ist grauenvoll. Habe mehrfach keine guten Erfahrungen gemacht
Mir wurde bis heute die Auskunft überhaupt meine Daten na h DSGVO verweigert.
Diese Firma sollte man bei jeglichen Zahlungsverkehr meiden!
@samu Der arme Landesdatenschutzbeauftragte! Nicht, daß der arme Kerl jetzt mit Post überhäuft wird. Bis der dann alles abgearbeitet hat sind ohnehin alle Daten dann schon gelöscht! ;-)
Das BDSG wurde durch die EU-DGSVO abgelöst.
Passt also nicht mehr ganz
Klarna wär braucht die Hilfe gibt von den nicht wenn etwas nicht klappt
???
Warum sollte ein Landesdatenschutzbeauftrage dafür zuständig sein ?
Weil der in solchen Fällen grundsätzlich zuständig ist.
Das ist ein meldepflichtiger Vorfall. Klarna macht sich strafbar, wenn Sie den Vorfall nicht an den Bundes- und/oder Landesdatenschutzbeauftragten gemeldet hätten.
Die App zu verlinken ist in diesem Artikel wohl eher unnötig ;)
Aus Kundensicht ist positiv zu bewerten, dass es sich nicht um einen externen Eingriff in das System handelte. Fehler bei Wartungsarbeiten sind im Bankenbereich zwar ebenso inakzeptabel aber definitiv das geringere Übel.“
Diese Art des Schönredens finde ich irgendwie unpassend. Ich habe das Gefühl, Sparkassen oder VR-Banken hätten so einen „Welpenschutz“ nicht.
Zumal,es nicht mal klar ist ob das interne Versagen nicht doch extern gesteuert war. Nennt man Sabotage sowas. Ein korrupter und/oder frustrierter Mitarbeiter könnte involviert sein
Für mich überwiegend weiterhin die Vorteile und wer frei von Fehlern ist…
Gemäß DSGV ist jeder betroffene Kunde zu informieren. Die Strafen bei Unterlassung sind nicht unerheblich. Bin gespannt was da noch so kommt.
Da wird das selbe kommen wie bei der WhatsApp Arie und der Herr Caspar …. aussitzen ist die neue
Taktik der schnellen Startups und internetfirmen… soll sich erst mal jemanden zum Anwalt bewegen ;-)
Da wurden wohl die cache policies vermurkst.
Es reichen eigentlich persönliche Daten zu sehen um anständig Schaden anzurichten. Bei meinem Glück bin ich da bestimmt wieder dabei gewesen. Wenn ich meinen Spam Ordner heute wieder anschaue bekomme ich das Kotz.n.
Wahnsinn. Ich hätte nicht gedacht das die solch eine Anzahl an Kunden haben.
Naja, Klarna Kunde wirst du ja mehr oder minder automatisch wenn du bei irgend jemandem online etwas auf Rechnung kaufst der nicht Amazon heißt. Gerade die ganzen Modedinger wickeln das so gut wie immer über Klarna ab.
90 Millionen Kunden? Mir kommt das auch sehr übertrieben vor.
Auszug aus der Klarna Website:
Klarna ist Teil der Klarna Group.
Aktive Kunden: 90 000 000
Gesamtanzahl der aktiven Händler: 250 000
Anzahl der Transaktionen pro Tag: 2 000 000
Nutze Klarna am liebsten. Hab aber auch kein Bankkonto damit verknüpft. Hab ich noch nie, bei keinem Anbieter oder App getan. Rechnungen werden Manuell überwiesen. Klarna ist immer unkompliziert, auch bei Rückgaben. Ein Klick und fertig.
Die 0,1 Prozent Kunden, die betroffen sind, sind die Kunden, die sich zu der Zeit eingeloggt haben. Auch wenn man mit dem Statement gerne sagen möchte, dass nur jeder 1000 Kunde beim Login dieses Problem hatte. Die sollen uns nicht für dumm verkaufen.
Sehe ich auch so. Wahrscheinlich sind gerade mal 0,1 % der Konten aktiv und es betrifft somit jeden einzelnen. Aber wie immer, kurzes Schulterzucken dazu ein „sorry“ und schon fährt der Zug weiter. Es ist unglaublich wie fahrlässig mit unseren Daten umgegangen wird. Aber hey, die Bösen sind ja immer die Downloader.
Unglaublich schlechtes, bzw. einfach umgangenes, Change-Management, wenn an einer so zentralen Funktion wie der Benutzerauthentifizierung so ein Bock geschossen werden kann. Ich verantworte selbst bei einem (deutlich kleinerem) Unternehmen, dass im Zahlungsverkehr tätig ist das Online-Portal. Hier gibt es strenge Vorgaben seitens BaFin, IT-Revision und Wirtschaftsprüfern.
Der Illusion, dass z.B. durch Testing oder „strenge Vorgaben“ eine 100%ige Sicherheit vor Fehlern erzielt werden kann, geben sich für Gewöhnlich nur Laien hin. Ich bin mir auch nicht sicher ob du weißt, was sich eigentlich hinter dem Begriff „Change-Management“ verbirgt…
@Ben niemand spricht von 100% Fehlerfreiheit, aber wir reden hier von einer der zentralsten, sicherheitsrelevantesten Komponenten einer solchen Plattform.
In einem ordentlichen Change Management Prozess kommen Eingriffe an solchen Stellen nur nach einem mehrstufigen Abnahmeplan produktiv, um solche gravierenden Fehler zu vermeiden.
Ich verantworte seit fast 20 Jahren solche Prozesse, würde mir aber niemals anmaßen, darüber zu urteilen, was dort falsch gelaufen ist, ohne die Details zu kennen. Woher soll ich wissen welche Standards bei Klarna gelten und ob sie eingehalten wurden? Spekulation. Ich weiß nur dass ein Update eingespielt wurde. Normalerweise wird das zunächst in der Testumgebung getan, da wird es kein Problem gegeben haben. Warum es produktiv diesen Fehler gab, analysiert Klarna wahrscheinlich selbst noch, vielleicht lag es gar nicht in ihrer Verantwortung. Aber schnelle Schuldzuweisungen und Verurteilungen sind leider im Netz inzwischen üblich.
Du weisst ja nicht genau, was noch im Hintergrund so abläuft bzw ablaufen wird. Und wie die schwedischen Behörden ihnen auf die Finger klopfen.
Aber das an die grosse Glocke zu hängen (sprich aufs Blog zu setzen) wäre eine schlechte PR.
Einfach vernünftig bezahlen und nicht auf Kriegste. Fertig ist die Laube.