Hoppa till huvudinnehåll

Inrikes

Lätt att näthandla i andras namn – Klarnas dåliga datasäkerhet möjliggör bedrägerier

Uppdaterad 13.07.2021 13:14.
Klarnan verkkosivu älypuhelimen näytöllä kuvattuna.
Bildtext Klarna är ett av de populäraste sätten att betala nätköp och många populära nätbutiker använder sig av deras betalningstjänster. I vissa fall kan det räcka att du en gång använt Klarnas tjänster för att dina uppgifter ska kunna användas till bedrägerier.

Dålig datasäkerhet gör det möjligt att använda användarkonton som tillhör ett företags kunder till att begå bedrägerier, identitetsstöld och trakasserier. Alltid krävs inte ens ett användarkonto. Dataombudsmannen har tagit emot drygt 150 klagomål. Det svenska företaget säger att de jobbar hårt för att få slut på bedrägerierna.

Det är möjligt att klicka hem varor på nätet och skicka räkningen till personer som använder Klarnas tjänster. Dessutom har det varit möjligt att få fram uppgifter om vem som finns i företagets register. Bristerna har lett till att det har varit förhållandevis lätt att begå bedrägerier.

Det framgår när YLE:s granskande program MOT går igenom företagets informationssäkerhet. Klarna är ett av de största företagen i Norden som erbjuder betalningstjänster.

Problemet har varit känt i flera år och det här sättet har återkommande använts för att begå brott.

– Det ser ganska illa ut. Datasekretess är så kritiskt att det inte ska vara möjligt att beställa varor i andras namn. Företaget har någon form av övervakning, men helt klart så läcker det, säger it-experten och författaren Petteri Järvinen.

Klarnan verkkosivu älypuhelimen näytöllä kuvattuna.
Bildtext Klarna framhäver gärna att deras tjänster är säkra.

Du behöver inte ens ha ett användarkonto för att bli offer för bedrägeriet

Klarna kräver stark autentisering första gången en inloggning sker. Det innebär att identiteten stärks med hjälp av bankkoder eller mobil-id.

Efter registreringen är det möjligt att använda Klarnas tjänster utan att logga in. Det räcker med e-post och postnummer. De uppgifterna är tillräckliga för att göra beställningar från flera nätbutiker.

Personer som inte har skapat ett användarkonto hos Klarna kan ändå bli ett offer för bedrägeriet. Det räcker att man någon gång har betalat ett nätköp via Klarnas betalningstjänst, då är det möjligt att finnas med i Klarnas databas utan att vara medveten om det själv.

Då finns personuppgifterna med i företagets databas. Eftersom många nätbutiker använder Klarnas tjänster kan det vara svårt att komma ihåg om man betalat via Klarna eller på ett annat sätt.

Säkerhetsbristerna har gjort det möjligt att ta reda på information om företagets kunder. Till exempel går det att ta reda på adress och telefonnummer. I vissa fall har det varit möjligt att få veta var personer med hemlig adress bor.

I maj 2021 kom det uppgifter om att en del av företagets kunder hade haft tillgång till andra kunders personuppgifter. Då kommenterade Klarna att det var frågan om ett mänskligt misstag.

Klarna: vi satsar på säkerhet

Enligt Klarna har företaget satsat extra mycket på säkerhet de senaste åren.

– Klarna följer kontinuerligt med, utvärderar och testar nya sätt att förhindra bedrägerier. De senaste åren har vi förbättrat kundernas säkerhet och fått ner mängden bedrägerier.

– Vi samarbetar fortlöpande med myndigheter, nätbutiker och med samarbetsparterna inom logistikbranschen för att förhindra kriminella från att använda våra tjänster.

Företaget gick inte med på en intervju. I stället gav de svaren per e-post. Klarnas svaga informationssäkerhet har tidigare fått kritik. Företaget förnekar ändå att de inte skulle ha vidtagit åtgärder.

Kuvassa on tietosuojavaltuutettu Anu Talus 2. marraskuuta 2020.
Bildtext Klarna är ett lite för välbekant företag för dataombudsmannen Anu Talus.

Hundratals klagomål hos dataombudsmannen

Dataombudsmannens byrå övervakar att personuppgifter behandlas lagenligt. De har tagit emot över 150 klagomål om Klarna.

– Det kan anses vara en mycket stor mängd, säger dataombudsman Anu Talus.

Men Dataombudsmannens byrå kan inte komma åt Klarna.

Företaget är svenskt och det är i första hand svenska myndigheter som ansvarar för övervakningen av Klarna. Integritetskyddsmyndigheten har ansvaret för övervakningen i Sverige.

Sedan maj 2018 har integritetsskyddsmyndigheten tagit emot 330 klagomål angående Klarna. I fem av fallen har myndigheten inlett en granskning av Klarnas verksamhet.

Under granskningarna har det framkommit att det finns problem med följandet av EU:s dataskyddsförordning, allmänt känd som GDPR. Det berättar integritetsskyddsmyndigheten åt MOT.

Klarna säger att de inte har information om klagomålen som lämnats in till de finländska myndigheterna.

Så granskade MOT Klarnas säkerhetsfel

  • Varor beställdes i fem personers namn. De beställdes från fem skilda populära nätbutiker.

  • Redaktionen hade fått lov av personerna att beställa varorna i deras namn.

  • Betalningssättet var Klarnas faktureringstjänst. Då betalas produkterna 14 dagar efter köpet, men varorna levereras ändå innan betalningen.

  • För att beställa krävdes endast e-post och postnummer. Beställningen levererades till postens serviceställe.

  • Innan beställningen bekräftats byter bedragaren kontaktinformationen. MOT berättar inte hur det här skedet går till.

  • På det här sättet fick redaktionen meddelandet om att paketet hade anlänt och kunde hämta det. Räkningen skickades till testets frivilliga offer.

Artikeln är översatt och bearbetad av Axel Ridberg och baserar sig på YLE:s artikel Maksufirma Klarnan kautta pystyy tilaamaan tavaraa toisen nimiin – MOT:n testi osoittaa, kuinka pahasti ruotsalaisyhtiön tietoturva vuotaa.