Fehler in der Autovervollständigung

Klarna deaktiviert Autofill-Funktion

Veröffentlicht: 12.02.2020 | Geschrieben von: Christoph Pech | Letzte Aktualisierung: 12.02.2020
Klarna auf Smartphone

Die Autofill-Funktion ist ein praktischer Begleiter für die tägliche Internetnutzung und wird von Millionen von Menschen genutzt. Wer zum Beispiel Google nutzt, kann in vielen Formularen nach der Eingabe des Namens den Rest automatisch ausfüllen lassen. Das funktioniert auch für Nutzer des Payment-Dienstleisters Klarna. Die Eingabe etwa der E-Mail-Adresse reicht, um ein Bestellformular bei vielen populären Online-Shops automatisch auszufüllen. Auf diversen Partnerseiten von Klarna ist die Autofill-Funktion nämlich die Standardeinstellung und muss manuell deaktiviert werden, falls man sie nicht nutzen möchte.

Das System hat aber einen unangenehmen Nebeneffekt: Dritte, denen zum Beispiel die E-Mail-Adresse des Nutzers bekannt ist, können über ein entsprechendes Formular etwa die zugehörige Anschrift herausfinden. Gisela Kalife, Mitarbeiterin im IT-Bereich einer Behörde, entdeckte im Dezember zufällig, dass sich aber auch noch ganz andere Daten über die Autofill-Funktion abgreifen lassen.

Vollständige Telefonnummer bei der Online-Apotheke

Kalife wollte im Dezember bei einer Online-Apotheke bestellen und bekam ihre vollständige Telefonnummer angezeigt – obwohl sie diese auf der Seite nie angegeben hatte. Sie stellte später fest, dass sie auf Apo-Discounter.de die Daten eines Klarna-Kunden eingeben und daraufhin dessen Telefonnummer unverschlüsselt einsehen konnte. Nachdem sie sich sowohl an Klarna als auch an die Online-Apotheke wandte und dort nicht ernstgenommen wurde, reichte sie Datenschutzbeschwerde ein und kontaktierte das Nachrichten-Magazin „Der Spiegel“.

Gegenüber dem Portal sagte sie, dass sie über diesen Trick an private Telefonnummern von Kollegen kam, die dort aber nie eingekauft hatten. „Die haben ziemlich gestaunt, dass ich dafür nur ihre Postleitzahl und ihre E-Mail-Adresse brauchte. Ausprobiert habe ich das alles natürlich mit dem Einverständnis der Kollegen. Mir wären aber genug Leute bekannt, die online einkaufen, und von denen ich weiß, wo ungefähr sie wohnen und wie ihre E-Mail-Adressen lauten.“ Der Spiegel testete die Lücke und bestätigte das Problem in einem eigenen Test.

Klarna reagiert

Das Problem zeigte sich zudem auch bei Apotheke.de und Apolux.de. Dabei war es nicht einmal notwendig, selbst Kunde zu sein, die Kenntnis von Mailadresse und Postleitzahl einer Person reichte aus. Klarna deaktivierte die Autofill-Funktion nach einem Hinweis des Spiegel auf den drei betreffenden Seiten und werde diese erst wieder aktivieren, wenn das Problem gelöst ist. Die Apotheken und Klarna wollen den Vorfall nun gemeinsam aufarbeiten. „Hinweise auf einen Missbrauch im Zusammenhang mit diesem Vorfall“ habe es Klarna zufolge nicht gegeben. Wie viele Nutzer potenziell von der Sicherheitslücke betroffen waren, ist unklar.

Über den Autor

Christoph Pech
Christoph Pech Experte für: Digital Tech

Christoph ist seit 2016 Teil des OHN-Teams. In einem früheren Leben hat er Technik getestet und hat sich deswegen nicht zweimal bitten lassen, als es um die Verantwortung der Digital-Tech-Sparte ging. Digitale Politik, Augmented Reality und smarte KIs sind seine Themen, ganz besonders, wenn Amazon, Ebay, Otto und Co. diese auch noch zu E-Commerce-Themen machen. Darüber hinaus kümmert sich Christoph um den Youtube-Kanal.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Christoph Pech

Kommentare  

#1 Reiner030 2020-04-02 10:21
Und die Funktion ist schon wieder aktiv...
Diesmal zwar mit gekürzter Telefonnummer, aber es wird noch immer die komplette Anschrift ausgefüllt nach Eingabe von E-Mail Adresse und PLZ, was immer noch einen massiven DSGVO Verstoß darstellen dürfte...
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.