事件概述 - 先买后付公司Klarna因回收手机号码缺乏登录保护 导致部分客户账户被错误登录 存在数据泄露风险 [1][2][13] - 公司最初内部评估多达288,000个客户登录信息可能被暴露 潜在财务影响高达4180万美元 [1][6][11] - 公司后续澄清实际受影响账户数比最初理论范围低99%以上 问题已完全解决 [1][3] 事件原因与细节 - 事件根本原因在于当移动运营商重新分配一个号码给新用户时 Klarna系统会自动将新用户登录至该号码前主人的账户 [2][13] - 内部信息显示 约10%的受影响账户属于严重案例 新手机号持有者可能获取敏感信息 如Klarna Balance数字钱包 [12] - 此次事件并非首次发生 内部支持票据显示至少从2022年起就存在类似问题 [21] 公司应对措施 - 公司于周三批准执行完整补丁 全面推行登录策略变更 增加了电子邮件一次性密码验证方式 [3][14] - 内部沟通显示 问题发生与得到纠正之间存在两天的信息延迟 [4] - 公司表示高级管理层意识到潜在漏洞后立即采取了行动 并计划向相关监管机构报告 [15][20] 内部讨论与潜在业务影响 - 公司在8月的内部讨论中曾担忧 增加电子邮件验证会比短信验证更耗时 可能对商户的转化率产生负面影响 [17][18] - 11月的一份内部信息估计 此举可能导致月度商品总值减少2850万美元 并引发质疑 [19] - 内部结论认为由于对战略合作伙伴影响过大 无法推行所需变更 [19][20] 公司背景与历史事件 - Klarna拥有约1.5亿用户 业务主要来自为超过79万家商户提供免息贷款服务 [23] - 公司股价自9月在纽约证券交易所首次公开募股以来 已较开盘价下跌超过20% 当时募资约13.7亿美元 [23] - 2021年公司曾发生数据泄露事件 客户信息被暴露31分钟 2024年因数据存储信息告知不充分被瑞典法院罚款约73.3万美元 [22]