Le service bancaire mobile Klarna a récemment rencontré un grave problème de sécurité qui permettait aux utilisateurs de son application de voir les comptes d’autres clients ainsi que leurs informations stockées lorsqu’ils se connectaient.
Lancée pour la première fois en 2005, Klarna est une banque suédoise qui permet à ses utilisateurs de faire des achats et de les financer au fil du temps d’une manière similaire au fonctionnement de Pay in 4 de PayPal.
Lorsque les clients de l’entreprise se sont connectés à l’application avant la résolution du problème, ils ont vu les informations de compte des autres utilisateurs au lieu de voir leurs propres comptes. Pour aggraver les choses, plusieurs clients de Klarna rapporté sur Twitter qu’à chaque fois qu’ils se connectaient, ils auraient accès à un compte différent.
Une fois que la nouvelle du problème a commencé à être largement signalée, la société a mis son application mobile hors ligne et lorsque les clients ont essayé de se connecter, ils ont vu un message indiquant «Désolé, l’application Klarna est actuellement en maintenance».
Sommaire
Incident auto-infligé
Au crédit de Klarna, le PDG de la société, Sebastian Siemiatkowski, a publié une déclaration écrite sur le problème et a fourni à ses clients une explication détaillée quelques heures seulement après la découverte du bogue.
Dans sa déclaration, Siemiatkowski a expliqué que l’incident s’était auto-infligé et qu’aucune donnée utilisateur sensible n’avait été exposée, en disant:
«La confiance est au cœur même de Klarna et de la banque. C’est pourquoi nous sommes tristes et frustrés de vous informer d’un incident auto-infligé, qui pendant 31 minutes n’a pas affecté plus de 9 500 utilisateurs de notre application. Le bogue a conduit à exposer des données utilisateur aléatoires au mauvais utilisateur lors de l’accès à nos interfaces utilisateur. Il est important de noter que l’accès aux données a été entièrement aléatoire et ne montre aucune donnée contenant des coordonnées bancaires ou bancaires (les données masquées étaient visibles). »
Étant donné que Klarna est basé en Suède, il est possible que l’entreprise soit passible d’amendes en vertu du RGPD, bien que Siemiatkowski ait souligné dans sa déclaration écrite que les données exposées seraient classées comme «non sensibles» en vertu du règlement.
À la suite de son enquête sur le problème, Klarna a conclu que le bogue avait été introduit dans ses systèmes à la suite d’une erreur humaine, par opposition à une cyberattaque ou à une violation de données externes.
Via BleepingComputer
