[English]Wie es ausschaut, ist das gestern berichtete Datenleck beim Kreditkartenunternehmen Mastercard größer als angenommen. Inzwischen ist eine Datei, die Kreditkartendaten enthält, aufgetaucht.
Anzeige
Ein kurzer Rückblick
Im Internet ist vor einiger Zeit eine CSV-Datei mit den Daten von rund 90.000 Nutzern des Mastercard-Bonusprogramm Priceless Specials aufgetaucht. In der Datei finden sich jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und häufig auch Postanschrift und Handynummern der betroffenen Personen. Ich hatte im Blog-Beitrag Artikel Datenleck: Mastercard-Bonusprogramm Priceless Specials über die Details berichtet.
Mastercard sperrte den Zugriff auf die Datei bzw. setzte das Bonusprogramm Priceless Specials aus. Auf der Mastercard-Specials-Seite erscheint die obige Meldung, dass dieses Problem (das Datenleck) keinerlei Auswirkungen habe und in keinem Zusammenhang mit dem Zahlungsnetzwerk von Mastercard steht.
Neue Hinweise auf größeres Datenleck
Kurz nach der Veröffentlichung des Artikels meldete sich ein Blog-Leser Eduard mit dem Hinweis, dass er ein größeres Datenleck vermutet. Der Leser schrieb:
Anzeige
Es scheint aber noch ein anderes Datenleck bei Mastercard zu geben. Ich bin selbst davon betroffen: Offenbar wurden Daten für Mastercard Debitkarten abgefischt und für Abbuchungen genutzt. Diese Karten waren nicht für das Bonusprogramm freigegeben. In meinem Fall wurden damit Zahlungen in Brasilien getätigt. Mittlerweile sind alle Mastercard Debitkarten, die von meiner Bank ausgegeben worden sind, gesperrt.
Von diesem Vorfall habe ich auch erst gestern erfahren, nachdem ich meine Bank wegen falschen Abbuchungen von meinem Konto kontaktiert habe.
Auch im heise-Forum gibt es diesen Post, der auf eine weitere Liste mit den vollständigen Kreditkartendaten hinweist. Der Poster berichtet, dass seine Bank die Karten sperre – also genau das, was auch in obigem Kommentar berichtet wird. Kurz darauf gab es einen Hinweis von Blog-Leser RUTZ-AhA auf den nachfolgenden heise-Artikel.
Mastercard-Leak: Zweite Datei mit vollständigen Kartennummern aufgetaucht https://t.co/Fmg5M06Wvl #Datenklau #Datenleck
— heise Security (@heisec) August 21, 2019
Der Redaktion von heise wurde eine zweite Datei mit 84.000 Datensätzen zugespielt, die die vollständigen Kreditkartennummern der betreffenden Personen enthält. Bei heise schreibt man, dass in der Datei zusätzliche Informationen wie Karteninhaber, Ablaufdatum oder CVC fehlen, betont aber, dass der Urheber möglicherweise im Besitz dieser Daten sei. Laut heise ist die Echtheit des zweiten Leaks ungeklärt.
Das Manager-Magazin schreibt ebenfalls in diesem Artikel, dass das Datenleck größer als gedacht ist. Dort wird berichtet, dass der Internet-Unternehmer David Schirrmacher am Bonusprogramm Priceless Special teilnahm. Schirrmacher ist vom Datenleck selbst betroffen und ermöglichte dem Manager-Magazin einen Einblick in seine Daten. Seine Kreditkartennummer ist in der Datei enthalten.
Beschwerden bei hessischem Datenschutzbeauftragten
Der Vorfall dürfte für Mastercard schon brisant werden. Einmal kommen wohl Schadensersatzforderungen bei Missbrauch auf das Unternehmen zu. Aber selbst ohne Missbrauch greift die Datenschutzverordnung (DSGVO), die die Erfassung personenbezogene Daten und deren Erhebung streng reglementiert. Durch das Leak sind personenbezogene Daten abgeflossen, was den Datenschützer auf den Plan ruft. Laut Manager-Magazin liegen bis Mittwoch Morgen 35 Beschwerden beim hessischem Datenschutzbeauftragten vor.
Beschwerden über Unregelmäßigkeiten seit Wochen
Im heise-Forum war ich Montag schon auf diesen Thread gestoßen, zu dem ich mir keinen rechten Reim machen konnte. Im ersten Post schreibt ein Nutzer:
bereits Ende Juni gemeldete Datenproblem
Wer die Liste vorliegen hat, kann ja mal nach MyDealz Mitarbeitern suchen- ein User hat z.B. über 50 Accounts bei Priceless Specials erstellt. Wenn man nun noch beachtet, das MyDealzde quasi der Fokus im Marketing von PS war, und welchen Ärger es mit den TUI Gutscheinen bzw den bereits Ende Juni bei MyDealzde gemeldetem Datenproblemen schon zuvor gab, wird klar was hier Motiviation für den "Leak" gewesen sein könnte. Letzte Datensätze von Juni..
Recht kryptisch, aber was ich herausziehen kann: Es gab wohl bereits Ärger mit TUI-Gutscheinen und der Plattform MyDealz wurden Ende Juni Datenschutzprobleme gemeldet. Im Artikel des Manager-Magazins weist man darauf hin, dass Online-Foren seit Wochen von Unregelmäßigkeiten berichtet wurde. Viele Kunden hatten sich bei Priceless Specials registriert, um von Rabattaktionen von Unternehmen wie Sixt, Tui oder Jochen Schweizer zu profitieren. Eine Reihe Kunden stellten aber fest, dass die Gutscheine von Dritten benutzt worden oder schon beim Einlöseversuch ungültig waren. Nicht personalisierte Prämen-Gutscheine tauchten Ende Juni 2019 mit Abschlag bei Aktionsplattformen wie eBay auf.
Mastercard beschuldigt Drittanbieter
Sowohl das Manager-Magazin als auch heise weisen in ihren Artikeln, unter Bezug auf eine Unternehmenssprecherin, darauf hin, dass Mastercard einen "Drittanbieter" für das Leck verantwortlich mache. Das Manager-Magazin gibt an, dass im Datensatz die Namen von Mitarbeitern einer Agentur, die IT-Lösungen anbiete, zu finden seien. Allerdings ist das alles unbestätigt. Verbraucherschützer raten Personen, die beim Mastercard Bonusprogramm Priceless Specials registriert waren und dort ihre Kreditkartendaten angegeben habe, die Karte sperren zu lassen. Bleibt die Frage, was noch ans Tageslicht kommt. Ist nur das deutsche Priceless Specials-Bonusprogramm betroffen, oder trifft es auch andere Länder? Auf der französischen Bonusprogramm-Seite ist noch nichts zu finden. Eine unschöne Geschichte ist es auf jeden Fall.
Ergänzung: Mastercard informiert Betroffene
Bei heise berichtet man in diesem Artikel, dass Mastercard sich endlich durch gerungen hat, Betroffene über das Datenleak zu informieren. Priceless-Specials-Nutzer sollten jetzt eine E-Mail mit einer entsprechenden Benachrichtigung erhalten. Weiterhin bietet Mastercard Kunden, laut heise, ein Jahr lang eine kostenlose Bonitätsüberwachung an.
Ähnliche Artikel:
Datenleck: Mastercard-Bonusprogramm Priceless Specials
Mastercard: Kartenbetrug, 1,5 Millionen Euro Schaden und 2.000 Betroffene bei der Oldenburgischen Landesbank
Anzeige
Danke für das Aufgreifen meines letzten Kommentars.
Ich bin mittlerweile selbst ein wenig auf Recherche gegangen und habe einmal nachvollzogen, wo ich überall meine Mastercard eingesetzt habe, auch um Beweise zu sichern, falls es evtl. noch Nachfragen seitens meiner Bank gibt. Wie schon in meinem letzten Kommentar erwähnt, ist meine Mastercard nicht für die Nutzung des Priceless Specials-Bonusprogramm nutzbar. Deshalb habe ich mich gefragt, wie sonst meine Kartendaten abgegriffen worden sein könnten.
Vorab zur Info: Die Mastercard Debit wird von meiner Bank erst seit ein paar Monaten angeboten und beworben. Da diese im ersten Jahr gebührenfrei ist, haben sich auch viele aus meinem Bekanntenkreis diese Karte bestellt. So habe ich auch einige meiner Bekannten gefragt, die die Karte genutzt haben, wo sie überall die Karte genutzt oder die Kartennummer angegeben haben. Mir ist dabei folgendes aufgefallen:
Ich habe meine Mastercard Debit für Online-Zahlungen freigegeben. Mastercard nutzt zur Absicherung eine Zwei-Faktor-Authorisierung namens "3D-Secure-Verfahren". Hierzu beantragt man eine gesonderte PIN, um sich über die Webseite eines Bankdienstleisters für das Verfahren anzumelden. Hierbei wird auch die Kartennummer abgefragt. Zur Authentifizierung wird eine Handy-App eines dritten Anbieters genutzt, über die zukünftig alle Zahlungen bestätigt werden. Die Handy-App wird bei der Kartenanmeldung per QR-Code eingerichtet.
Nun habe ich über meine Gespräche im Bekanntenkreis erfahren, dass alle, die ihre Karte auch für Onlinezahlungen verwendeten, in den letzten Tagen die gleichen unrechtmäßige Abbuchungen auf ihrem Konto hatten wie ich. Nicht betroffen waren diejenigen, die ihre Karte nur Offline nutzten: hier waren keine verdächtigen Abbuchungen vom Konto erfolgt.
Dazu passend hatte ich am vergangen Montag über die besagte Handy-App eine Mitteilung erhalten, dass ich eine Zahlung freigeben sollte, die ich nicht getätigt habe, was ich natürlich zurückgewiesen habe. Über den in der App genannten Betrag erfolgte bisher keine Abbuchung von meinem Konto.
Ich besitze noch eine Mastercard Kreditkarte, die von alledem nicht betroffen ist. Diese nutzte ich auch für Online-Zahlungen, aber nicht über das 3D-Secure-Verfahren, da die Karte schon älter ist und damals über ein anderes Verfahren für Online-Zahlungen freigegeben worden ist.
Ich bin mir nicht sicher, ob es hier einen Zusammenhang gibt, da ich nur meine eigene Beobachtung schildere. Es wäre aber schon ein Unding, wenn ein Verfahren, dass Zahlungen im Internet sicherer machen soll, genutzt wurde, um Kartendaten abzugreifen.
Heute war mein Fall in den Nachrichten:
https://www.butenunbinnen.de/nachrichten/kurz-notiert/cyberkriminelle-betrug-konten-nordwest-100.html
https://www.ndr.de/nachrichten/niedersachsen/oldenburg_ostfriesland/OLB-Mehr-als-2000-Kreditkartenkunden-betrogen,kreditkarten108.html
Danke, ich habe es in einem separaten Artikel aufgegriffen – siehe Linkliste am Ende des obigen Artikels. Schon ein Hammer, der da passiert ist – und die Ursache des Lecks ist öffentlich nicht bekannt.
"Seine Kreditkartennummer ist in der Datei enthalten."
Liegt ihm diese Datei denn vor? Oder dem Handelsblatt?
Pre-Paid Karten verwenden, und immer nur einen kleinen Betrag auf diesem Konto haben. Spontan-Käufe ab einer bestimmten Höhe sind dann zwar nicht möglich, aber damit muss dann halt leben.
Prepaid-Karten schön und gut.
Aber es gibt immer mehr Banken, die die klassischen Bankkarten/Girokarten, ehem. EC-Karten, abschaffen und statt dessen Debitkarten z. B. von Mastercard verteilen. Somit kommt man nicht drum herum, möchte man weiterhin Geldautomaten nutzen, um an Bargeld zu gelangen, oder bargeldlos in Geschäften bezahlen.
Hallo,
ich bin Betroffener. Ich habe nämlich bei Heise
https://www.heise.de/security/meldung/Mastercard-Leak-Zweite-Datei-mit-vollstaendigen-Kartennummern-aufgetaucht-4501701.html
unten den "Identity Leak Checker" benutzt, und siehe da, positiv.
Ein Anruf bei Mastercard hatte zur Folge, dass die die Karte auf der Stelle gesperrt haben – was ja tief blicken lässt.
Aber auch vorher schon bin ich misstrauisch geworden. Meine Mastercard ist von der Sparkasse, und beim Online-Banking funktionierte die Umsatzabfrage nicht, es gab eine Fehlermeldung in rot.
Das zur Info an alle
Gruß, Kolonius
P.S. in der Sparkasse konnten die mir immerhin versichern, dass mein Mastercard-Account bei Null steht, es gab also keine Abbuchungen in der letzten Zeit.
Und die Erkenntnis aus dem aktuellen Geschehen?
Trotz Verschlüsselung und Mehrfach-Authentifizierung bleiben jede Menge Restrisiken. Und daran wird sich auch nie etwas ändern.
Schon allein deshalb, weil stets dritte Stellen als Dienstleister eingebunden sind, potenzieren sich die Risiken nach oben.
Das lässt sich beim Onlinekauf gar nicht verhindern.
Und ab 14.Sept. sollen vom Kunden ausgewählte Finanzdienstleister vollen Überblick über die Kundenkonten bekommen. Na dann Prost Mahlzeit.
Dazu addiert sich noch die Verfolgungssucht der staatlichen Behörden.
Das ist der Tribut für die Bequemlichkeit.