Klarna Checkout kan användas för att verifiera tredje parts e-post

Klarnas betaltjänst Klarna Checkout kan missbrukas för att verifiera om en e-postadress verkligen tillhör en viss person. Om man anger personens e-postadress och postnummer i kassan till en onlinebutik får man upp personens kontaktuppgifter om vederbörande någon gång handlat hos Klarna.

Butiker anger att man behöver ange postnummer för att se leveransalternativ, men det handlar egentligen om att Klarna täppt till en säkerhetslucka. Annars skulle man kunna få fram vem en e-postadress tillhör utan att vet vem personen är, givet att personen någon gång handlat i en butik med Klarna Checkout och angivit e-postadressen. Det är dock inte möjligt (längre) – anger man fel postnummer får man inte upp någon information.

Nja. Bredband, men inget Internet.

Men anger man rätt postnummer bekräftas det att e-postadressen tillhör en viss person, man alltså visste var personen bodde. Eller så bekräftas det åtminstone att någon med den e-postadressen beställt något på Internet till personens adress.

En tanke var att man kunde få reda på vem som har en e-postadress om man beställer en ren digital tjänst, t ex digitalt abonnemang på “en tidning” eller SvD, då dessa knappast behöver postnummer för tjänsten. Men även vid digitala abonnemang måste man ange postnumret, så Klarna har delvis tänkt rätt här.

Rimligtvis bryter det mot något användaravtal, rent av mot lagen, att använda Klarna Checkout på detta vis, då man inte får utge sig för att vara någon annan.

Det är ändå olyckligt att det räcker att ange e-postadress och postnummer, så får man upp en persons kontaktuppgifter. Dock ej hela telefonnumret, vilket får sägas vara positivt, då det inte alltid finns sökbart. Däremot skulle man kunna få fram adressen till någon med skyddad identitet om denne har handlat via Klarna och man har personens e-postadress.

En hypotetisk angreppsvektor är en brute force-attack mot systemet, där man helt enkelt via ett script testar sig igenom alla postnummer till man får fram identiteten bakom en viss e-postadress. Klarnas system är dock inte speciellt snabbt på att svara, så det tar gissningsvis en stund. Det är okänt om Klarna har någon begränsning i antalet kontaktförsök per tidsenhet. Har man misstankar kring en e-postadress identitet eller personen t ex skrivit “jag bor i Täby och …” kan man förstås börja med relevanta postnummer först, rent av testa manuellt om orten är tillräckligt liten.

Använd aldrig en e-postadress du kopplat till din faktiska identitet, t ex via E-handel, om du anonymt vill kontakta myndigheter, media eller något annat som kan vara känsligt. Klarnas personregister över e-postadresser och kunder visar på teoretiska attackvektorer mot din identitet. Ett dataintrång mot en sådan tjänst, där man alltså inte bara har listor med e-postadresser att spamma, utan också faktiska fysiska kontaktuppgifter och identiteter bakom, är en mycket attraktivt måltavla för hackers. 

Det går dock att begära att man tas bort från Klarnas databas genom att kontakta bolaget på [email protected]. 

Du lämnar spår i allt du gör på Internet. I vissa fall, som med Klarna, kommer de spåren följa dig mellan olika webplatser, åtminstone i kassan på en del betaltjänster och butiker. Egentligen borde man ha en separat e-postadress som man enbart använder till butiker och betaltjänster, rent av unika e-postadresser per butik, så man kan spåra om uppgifter läcker ut. Om du t ex har en egen domän och sätter upp ett e-postalias per butik, och du börjar få spam till ett butikalias, så vet du att butiken eller butikens betaltjänst läcker.