2015-06-25 18:52

Klarna Checkout kan användas för att verifiera tredje parts e-post

Klarnas betaltjänst Klarna Checkout kan missbrukas för att verifiera om en e-postadress verkligen tillhör en viss person. Om man anger personens e-postadress och postnummer i kassan till en onlinebutik får man upp personens kontaktuppgifter om vederbörande någon gång handlat hos Klarna.

Butiker anger att man behöver ange postnummer för att se leveransalternativ, men det handlar egentligen om att Klarna täppt till en säkerhetslucka. Annars skulle man kunna få fram vem en e-postadress tillhör utan att vet vem personen är, givet att personen någon gång handlat i en butik med Klarna Checkout och angivit e-postadressen. Det är dock inte möjligt (längre) - anger man fel postnummer får man inte upp någon information.
Nja. Bredband, men
inget Internet.

Men anger man rätt postnummer bekräftas det att e-postadressen tillhör en viss person, man alltså visste var personen bodde. Eller så bekräftas det åtminstone att någon med den e-postadressen beställt något på Internet till personens adress.

En tanke var att man kunde få reda på vem som har en e-postadress om man beställer en ren digital tjänst, t ex digitalt abonnemang på "en tidning" eller SvD, då dessa knappast behöver postnummer för tjänsten. Men även vid digitala abonnemang måste man ange postnumret, så Klarna har delvis tänkt rätt här.

Rimligtvis bryter det mot något användaravtal, rent av mot lagen, att använda Klarna Checkout på detta vis, då man inte får utge sig för att vara någon annan.

Det är ändå olyckligt att det räcker att ange e-postadress och postnummer, så får man upp en persons kontaktuppgifter. Dock ej hela telefonnumret, vilket får sägas vara positivt, då det inte alltid finns sökbart. Däremot skulle man kunna få fram adressen till någon med skyddad identitet om denne har handlat via Klarna och man har personens e-postadress.

En hypotetisk angreppsvektor är en brute force-attack mot systemet, där man helt enkelt via ett script testar sig igenom alla postnummer till man får fram identiteten bakom en viss e-postadress. Klarnas system är dock inte speciellt snabbt på att svara, så det tar gissningsvis en stund. Det är okänt om Klarna har någon begränsning i antalet kontaktförsök per tidsenhet. Har man misstankar kring en e-postadress identitet eller personen t ex skrivit "jag bor i Täby och ..." kan man förstås börja med relevanta postnummer först, rent av testa manuellt om orten är tillräckligt liten.

Använd aldrig en e-postadress du kopplat till din faktiska identitet, t ex via E-handel, om du anonymt vill kontakta myndigheter, media eller något annat som kan vara känsligt. Klarnas personregister över e-postadresser och kunder visar på teoretiska attackvektorer mot din identitet. Ett dataintrång mot en sådan tjänst, där man alltså inte bara har listor med e-postadresser att spamma, utan också faktiska fysiska kontaktuppgifter och identiteter bakom, är en mycket attraktivt måltavla för hackers. 

Det går dock att begära att man tas bort från Klarnas databas genom att kontakta bolaget på service@klarna.se

Du lämnar spår i allt du gör på Internet. I vissa fall, som med Klarna, kommer de spåren följa dig mellan olika webplatser, åtminstone i kassan på en del betaltjänster och butiker. Egentligen borde man ha en separat e-postadress som man enbart använder till butiker och betaltjänster, rent av unika e-postadresser per butik, så man kan spåra om uppgifter läcker ut. Om du t ex har en egen domän och sätter upp ett e-postalias per butik, och du börjar få spam till ett butikalias, så vet du att butiken eller butikens betaltjänst läcker.

13 kommentarer:

  1. Nja, har du verifierat att det verkligen är så enkelt?
    Enligt en vän som var på ett säkerhetsseminarie där klarna medverkade så är autofill en kompicdrad process som bygger på ett 50 tal identifikationer.
    Ip, datornanm, browser, musrörelser, m.m. Om allt stämmer med tidigare köp så räcker det med email, ju mindre som stämmer destu mer info måste läggas till, där postnr är första info, sannolikt för att verifiera mot ip.
    Men har du inte köpt något med samma uppgifter så tror jag nog att du måste knappa in fler saker.
    Om jag förstod allt rätt...

    SvaraRadera
    Svar
    1. Jahopp, då kollade jag själv.
      Tog dn butik jag aldrig tidigare handlat i, med mobilen, utan wifi, har aldrig handlar klarna med mobilen. Skrev in email fick fråga om postnr o vipps så fanns min bokföringsadress o tel där...
      Det stämmer alltså som du säger.

      Radera
    2. Jupp. Med mobil får du annat IP, annan browser etc, ändå räckte det med postnummer.

      Radera
    3. Får åberopa ignorans i det här fallet. Klarna???

      Radera
  2. Dessa j_vla tracking-tjänster som poppar upp som svampar på nätet är riktigt obehagligt. Många ovetandes förstår inte att vi övervakas av mängder av bolag idag, inte bara de stora drakarna som Google o co. Det finns en handfull av dem bara i lilla Sverige.

    Dessa bolag köper upp pixlar och anrop från miljontals webb-platser och kan på så sätt spåra dig och dina beteenden på nätet, och det är inget du kan göra något åt.
    I praktiken är det tjänsteleverantören som säljer ut dig för en spottstyver, och dessa spårningstjänster som i sin tur säljer ut dina uppgifter för grova pengar.

    Vidrigt och bör stoppas!

    SvaraRadera
  3. Man behöver inte göra unika konton för varje butik. I Gmail finns en funktion där du kan göra unika adresser till varje sida.

    Se instruktion nedan från produktivitetsblogen:
    "Lägg till ett plustecken mellan ditt användarnamn och @-tecknet och infoga en sidunik text när du registrerar dig på sidor. Exempel: fornamn.efternamn+produktivitetsbloggen@gmail.com. Mailet kommer fortfarande att gå till fornamn.efternamn@gmail.com, men du kommer att kunna se vilket suffix det är på inkommande skräpmail och även sätta etiketter på dem genom att sätta ett filter på ”till”-adressen."

    SvaraRadera
    Svar
    1. Helt svordom lysande funktion hos Google! De har tänkt till!

      Radera
    2. Oerhört imponerande. Nu ska jag bara komma ihåg att använda det.

      Radera
    3. Månadens bästa tips. Mycket bra!

      Radera
    4. En kul övning:
      1) Sätt upp en e-postadress hos Google.
      2) Var noga med att aldrig använda denna e-postadress bart.
      3) Skicka runt den nya e-postadressen med +-suffix.
      4) Invänta och se om du får några mejl på den bara adressen (utan +-suffixet).

      Om 4 inträffar har någon anpassat sig efter Googles funktion och på ett enkelt sätt listat ut den verkliga e-postadressen.

      Radera
    5. Wow! Superduper! Tack för tipset!

      Radera
  4. Man behöver inte göra unika konton för varje butik. I Gmail finns en funktion där du kan göra unika adresser till varje sida.

    Se instruktion nedan från produktivitetsblogen:
    "Lägg till ett plustecken mellan ditt användarnamn och @-tecknet och infoga en sidunik text när du registrerar dig på sidor. Exempel: fornamn.efternamn+produktivitetsbloggen@gmail.com. Mailet kommer fortfarande att gå till fornamn.efternamn@gmail.com, men du kommer att kunna se vilket suffix det är på inkommande skräpmail och även sätta etiketter på dem genom att sätta ett filter på ”till”-adressen."

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...