myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Internet] Dritte konnten Telefonnummern von Klarna-Kunden abrufen

Willkommen

myGully

Links

Forum

 
Antwort
 
Themen-Optionen Ansicht
Ungelesen 12.02.20, 12:38   #1
BLACKY74
Chuck Norris sein Vater
 
Registriert seit: Aug 2010
Beiträge: 6.100
Bedankt: 18.425
BLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt PunkteBLACKY74 leckt gerne myGully Deckel in der Kanalisation! | 320494956 Respekt Punkte
Standard Dritte konnten Telefonnummern von Klarna-Kunden abrufen
Zitat:
Datenschutzproblem bei Bezahldienst
Dritte konnten Telefonnummern von Klarna-Kunden abrufen

Der Zahlungsdienst Klarna will das Onlineshopping simpler machen - auch mit einer Autovervollständigung für Bestellformulare. Der SPIEGEL wies das Unternehmen nun auf ein Sicherheitsproblem hin.


Der Zahlungsdienst Klarna aus Schweden ist auch in Deutschland beliebt Georg Wendt/ picture alliance/dpa

"Unser Ziel ist es, das Einkaufen einfacher und sicherer zu machen - smoooth eben." Mit Sprüchen wie diesem und drei "o" wirbt der Zahlungsdienstleister Klarna um das Vertrauen von Kundinnen und Kunden. Und tatsächlich klappt das Bezahlen per Klarna in der Regel schnell und reibungslos.

Auf einigen populären Seiten, etwa beim Sexspielzeugversand Eis.de oder auf MyTrain.de, reicht für viele Klarna-Nutzer schon die Eingabe von Postleitzahl und E-Mail-Adresse, schon füllt sich ein Bestellformular von allein mit weiteren Daten. Automatisch eingefügt wird dabei die Anschrift, manchmal kommen - in verschleierter Form - auch noch Geburtsdatum und Telefonnummer hinzu.


Typisches Klarna-Formular: Abgefragt werden zunächst nur E-Mail-Adresse und Postleitzahl

Diese Daten-Autovervollständigung, auch Autofill oder Prefill genannt, dürften zahlreiche Kunden, die Klarna schon einmal genutzt haben, aktiviert haben: Sie ist auf einigen Partnerseiten die Standardeinstellung und muss, etwa bei Datenschutzbedenken, von Hand abgeschaltet werden (wie das auch nachträglich geht, steht am Artikelende).

Ist Autofill aktiviert, geht das Bestellen zwar schneller. Zugleich aber könnten Dritte, denen die Postleitzahl und E-Mail-Adresse eines Kunden bekannt ist, über ein entsprechendes Formular die zugehörige Anschrift herausfinden. Das ist kein Fehler, sondern ein Nebeneffekt des Systems.

Telefonnummern von Kollegen sichtbar

Eine Internetnutzerin aus Berlin entdeckte nun einen weiteren Grund, die Autofill-Funktion lieber zu deaktivieren. Gisela Kalife, Mitarbeiterin im IT-Bereich einer Behörde, war im Dezember aufgefallen, dass sich über das Klarna-System auch Telefonnummern im Klartext abrufen ließen. Ihre Beobachtung machte Kalife durch Zufall, als sie online bei einer Apotheke einkaufen wollte und dabei auf einmal ihre vollständige Telefonnummer zu sehen bekam, die sie der Apotheke aber nie gegeben hatte.

Bald darauf stellte Kalife fest, dass das Problem nicht nur sie betreffen würde. Sie merkte: Wer auf Apo-Discounter.de Daten eines Klarna-Kunden eingab, der die Autofill-Funktion aktiviert hat und dessen Telefonnummer bei Klarna gespeichert war, der konnte nach einem Klick zurück auf die Apo-Discounter-Startseite im Menü "Kontodaten bearbeiten" jene Telefonnummer einsehen. Und das unverschlüsselt und nicht wie sonst im Eingabefeld teilweise verschleiert.


Plötzlich eingeloggt: Über "Kontodaten bearbeiten" ließen sich Telefonnummern von Klarna-Kunden einsehen

"Ich kam so zum Beispiel an private Telefonnummern von Kollegen, die noch nie auf der Apotheken-Seite eingekauft hatten", sagt Kalife dem SPIEGEL. "Die haben ziemlich gestaunt, dass ich dafür nur ihre Postleitzahl und ihre E-Mail-Adresse brauchte. Ausprobiert habe ich das alles natürlich mit dem Einverständnis der Kollegen. Mir wären aber genug Leute bekannt, die online einkaufen, und von denen ich weiß, wo ungefähr sie wohnen und wie ihre E-Mail-Adressen lauten."

Kalife sagt, sie habe probiert, Klarna und Apo-Discounter.de auf das Problem hinzuweisen, dort habe man ihre Bedenken aber nicht ernst genommen. Deshalb habe sie zunächst eine Datenschutzbeschwerde eingereicht und später den SPIEGEL kontaktiert.


Fürs nächste Mal speichern: So sahen die Autofill-Einstellungen bei Apo-Discounter.de bislang standardmäßig aus

Das Problem betraf mehrere Apotheken-Websites

Der SPIEGEL konnte die von Kalife entdeckte Lücke in einem eigenen Test nachvollziehen. Im Zuge der Recherchen stellte sich zudem heraus, dass das Problem auch die Schwester-Websites Apotheke.de sowie Apolux.de betrifft. Auch hierüber ließen sich prinzipiell Telefonnummern von Klarna-Nutzern mit aktivierter Autofill-Funktion im Klartext einsehen - unabhängig davon, ob sie je auf den Apotheken-Websites waren. Man selbst musste auch kein Kunde sein, um die Lücke ausnutzen zu können. Entscheidend war nur, Mailadresse und Postleitzahl einer Person zu kennen.

Nach einem Hinweis des SPIEGEL auf die Lücke hieß es von Klarna am Dienstag, das Unternehmen habe die Autofill-Funktion auf den drei Websites, die zur selben Händlergruppe gehören, "sofort deaktiviert". Man werde die Autofill-Funktion wieder aktivieren, sobald der Händler das Problem gelöst habe. Es gebe "keine Hinweise auf einen Missbrauch im Zusammenhang mit diesem Vorfall". Der sichere Umgang mit persönlichen Daten liege "jeweils separat bei Klarna selbst und bei den Händlern, mit denen wir kooperieren".

Apo-Discounter.de teilte derweil mit, man habe die Prefill-Funktion von Klarna nun "in allen unseren Webshops umgehend deaktivieren lassen, sodass die Telefonnummer nicht mehr in unserer Bestellübersicht angezeigt wird". Auch Apo-Discounter.de hat nach eigenen Angaben keine Hinweise auf einen Missbrauch der Lücke. Man wolle den Vorgang nun gemeinsam mit Klarna aufarbeiten. Beide Unternehmen betonen, der Schutz von persönlichen Daten von Nutzern habe für sie höchste Priorität. Die Frage des SPIEGEL, wie viele Klarna-Nutzer die Lücke potenziell betraf, wurde nicht beantwortet.

Wie sich Autofill bei Klarna deaktivieren lässt


Auf der Klarna-Website lässt sich die Autofill-Funktion abstellen

Deaktivieren lässt sich die Autofill-Funktion am einfachsten [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Nach dem Log-in geht man dort auf "Profil" und dann auf "Autofill bei Bestellung". Dort stellt man den Schalter auf Grau. Außerdem kann man während eines Bestellprozesses über ein Klarna-Formular vor dem Kauf den Punkt "Autofill-Einstellungen" anwählen und dort beide Häkchen entfernen. Anschließend bekommt man noch eine E-Mail geschickt, in der man auf einen Link klicken muss.
Quelle:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
BLACKY74 ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:34 Uhr.


myGully - Archiv - Nach oben
Sitemap

().