Klarna пропонується через роздрібних торговців, таких як Walmart, Macy's і Wayfair, які щотижня обробляють платежі від понад 150 мільйонів клієнтів.
NurPhoto через Getty Images
Постачальник послуг «Купуй зараз, плати пізніше» Klarna, ціна акцій якого впала на 19% після IPO сім тижнів тому, стикається з пильною увагою через нову важливу проблему з даними клієнтів, яка на момент написання статті ще не була вирішена саме тоді, коли мільйони покупців почали планувати свої великі святкові покупки.
Помилка у формі кредитної заявки розкриває конфіденційну особисту інформацію, що належить іншим клієнтам. Витік підтвердив представник Klarna, який відмовився розкрити масштаби проблеми.
Лише в США Klarna продається через такі роздрібні торговці, як Walmart, Macy's і Wayfair, які щотижня обробляють платежі від понад 150 мільйонів клієнтів. Питання в тому, чи будуть ці роздрібні партнери продовжувати покладатися на Klarna на тлі стурбованості щодо довіри споживачів і втрати продажів.
Розкриті дані користувача
Проблема виявилася, коли клієнт, розглядаючи розстрочку через онлайн-касу Klarna минулих вихідних, помітив, що кілька сторінок його форми заявки були попередньо заповнені деталями, які, очевидно, належать іншому користувачеві. Клієнт вирішив не продовжувати розгляд заявки, побоюючись, що його власні дані можуть бути видимі іншим.
Я бачив незамасковані версії всіх сторінок, якими поділився потенційний клієнт, і можу перевірити їх автентичність. Щоб захистити потенційну жертву, у наведеному нижче прикладі ідентифікаційні дані для цієї публікації видалено. Кожна сторінка містить особисту інформацію, пов’язану з особою: ім’я, прізвище, дата народження, адреса, поштовий індекс, місто та штат, що викликає запитання про те, як Klarna обробляє конфіденційні дані.
Один із кількох знімків екрана, на яких показано попередньо заповнені особисті дані, які, здається, належать комусь іншому, ніж користувач.
Крістофер Холломан
Klarna відповідає, заперечуючи загальносистемну проблему
У вівторок, 4 листопада, представник Klarna надав мені цю офіційну заяву:
“Нас повідомили про цей випадок, і ми ретельно його дослідили. Проблема пов’язана з рідкісним сценарієм, який ми активно розглядаємо, і ми вжили заходів для подальшого посилення наших заходів безпеки. Ми можемо підтвердити, що це не результат загальносистемної проблеми чи витоку даних клієнта”
Компанія не надала жодних технічних подробиць щодо першопричини цього «рідкісного сценарію» і не прокоментувала, скільки користувачів постраждало, тому можна лише припускати.
Тривожна модель «рідкісних сценаріїв»
Під час моторошно схожого інциденту в лютому 2020 року користувачі повідомили, що якщо ввести лише адресу електронної пошти та поштовий індекс, форми автоматично заповняться даними інших користувачів. Серед виявленої інформації – адреси, дати народження та номери телефонів. Ця глобальна вразливість дозволяла будь-якій третій стороні з двома легко доступними точками даних збирати конфіденційну особисту інформацію.
Нещодавно, у грудні 2024 року, Klarna була оштрафована на 50 мільйонів доларів у своїй рідній Швеції за системні збої в контролі протидії відмиванню грошей (AML). Це сталося після штрафу в розмірі 800 000 доларів США в березні 2022 року за порушення європейського законодавства про конфіденційність. Ці збої в дотриманні посилюють шкоду від витоку даних у 2021 році, коли випадковим чином було відкрито дані реальних облікових записів до 9500 користувачів, ще один інцидент, схожий на поточний випадок.
Порушення даних у 2021 році призвело до випадкового розкриття даних реальних облікових записів до 9500 користувачів.
Крістофер Холломан
Ризики зростають для гіганта «Купити зараз, платити потім».
Незважаючи на характеристику Klarna, експерти з безпеки зазвичай визначають будь-яке несанкціоноване відкриття конфіденційних закритих даних, навіть якщо це ненавмисно, як витік або порушення, незалежно від того, чи є воно результатом людської помилки, технічного збою чи зловмисної атаки. Інцидент викликає серйозні питання щодо внутрішнього контролю Klarna.
Сектор BNPL, включно з такими гравцями, як Klarna, Afterpay і Affirm, швидко виріс, пропонуючи покупцям миттєвий кредит у місці продажу. Ця бізнес-модель повністю спирається на довіру споживачів і безпечну обробку величезних обсягів конфіденційних фінансових і особистих даних. Оголошення особистої інформації дає злочинцям ключові компоненти для крадіжки особистих даних або шахрайства.
Для інвесторів момент інциденту навряд чи міг бути гіршим. З огляду на те, що Klarna все ще перебуває під пильним наглядом регуляторів і щойно після невтішного дебюту на ринку, ще одна суперечка щодо даних загрожує підірвати довіру до її управління. Оскільки обсяги транзакцій у святкові дні стрімко зростають, як інвестори, так і спостерігачі будуть уважно стежити за тим, чи підтверджуються запевнення Klarna прозорими діями, чи для відновлення довіри буде потрібно подальше регуляторне втручання, що може змінити економіку всієї галузі.
Слідкуйте за Holloman, щоб дізнатися більше про фінанси та технології майбутнього.
