Klarna souffre d'un grave problème de sécurité de compte

Le service bancaire mobile de Klarna a récemment rencontré un grave problème de sécurité qui permettait aux utilisateurs de son application de consulter les comptes d'autres clients ainsi que leurs informations stockées lorsqu'ils se connectaient.

Lancée pour la première fois en 2005, Klarna est une banque suédoise qui permet à ses utilisateurs d'effectuer et de financer des achats au fil du temps, de la même manière que fonctionne Pay in 4 de PayPal.

Lorsque les clients de l'entreprise se connectaient à l'application avant que le problème ne soit résolu, ils voyaient les informations de compte des autres utilisateurs au lieu de leurs propres comptes. Pour aggraver les choses, plusieurs clients de Klarna ont signalé sur Twitter qu'à chaque fois qu'ils se connecteraient, ils auraient accès à un compte différent.

Une fois que la nouvelle du problème a commencé à se répandre largement, la société a mis son application mobile hors ligne et lorsque les clients ont essayé de se connecter, ils ont vu un message indiquant "Désolé, l'application Klarna est actuellement en maintenance".

Incident auto-infligé

Au crédit de Klarna, le PDG de l'entreprise, Sebastian Siemiatkowski, a publié une déclaration écrite sur le problème et a fourni à ses clients une explication détaillée quelques heures seulement après la découverte de l'erreur.

Dans sa déclaration, Siemiatkowski a expliqué que l'incident était auto-infligé et qu'aucune donnée utilisateur sensible n'avait été exposée, déclarant :

« La confiance est au cœur de Klarna et de la banque. C'est pourquoi nous sommes tristes et frustrés de vous informer d'un incident auto-infligé qui, pendant 31 minutes, n'a pas affecté plus de 9.500 XNUMX utilisateurs de notre application. Le bug a conduit à exposer des données utilisateur aléatoires au mauvais utilisateur lors de l'accès à nos interfaces utilisateur. Il est important de noter que l'accès aux données a été totalement aléatoire et ne montre aucune donnée contenant des coordonnées bancaires ou bancaires (les données cachées étaient visibles). "

Klarna étant basée en Suède, la société pourrait être passible d'amendes en vertu du RGPD, même si Siemiatkowski a souligné dans sa déclaration écrite que les données exposées seraient classées comme « non sensibles » en vertu du règlement.

À la suite de son enquête sur le problème, Klarna a conclu que le bug avait été introduit dans ses systèmes à la suite d'une erreur humaine, plutôt que d'une cyberattaque ou d'une violation de données externe.

Via BleepingComputer