{"id":221846,"date":"2019-08-21T00:41:57","date_gmt":"2019-08-20T22:41:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=221846"},"modified":"2024-02-20T10:45:01","modified_gmt":"2024-02-20T09:45:01","slug":"mastercard-bonusprogramm-priceless-specials-leakt-daten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/21\/mastercard-bonusprogramm-priceless-specials-leakt-daten\/","title":{"rendered":"Datenleck: Mastercard-Bonusprogramm Priceless Specials"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine CSV-Datei mit den Daten zehntausender Nutzer des Mastercard-Bonusprogramm Priceless Specials ist wohl kurze Zeit in Foren aufgetaucht. Hier einige Informationen \u00fcber das Datenleck.<\/p>\n<p><!--more--><\/p>\n<h2>Erster Bericht bei heise Security<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/531887891a504be0a53e810538ddca36\" width=\"1\" height=\"1\"\/>Heise berichtet erstmals \u00fcber dieses Datenleck, welches auf das Mastercard-Bonusprogramm Priceless Specials zur\u00fcckgeht in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Datenleck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz-4500593.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Leck bei Mastercard? Daten von fast 90.000 Personen kursieren im Netz <a href=\"https:\/\/t.co\/0t4DNzeb9n\">https:\/\/t.co\/0t4DNzeb9n<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Datenleck?src=hash&amp;ref_src=twsrc%5Etfw\">#Datenleck<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Mastercard?src=hash&amp;ref_src=twsrc%5Etfw\">#Mastercard<\/a><\/p>\n<p>\u2014 heise Security (@heisec) <a href=\"https:\/\/twitter.com\/heisec\/status\/1163547729156562946?ref_src=twsrc%5Etfw\">August 19, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Dem Artikel zufolge wurde heise Security auf einen Datensatz mit 90.000 Benutzerdaten aufmerksam gemacht, die laut heise als Excel-Tabelle \u00f6ffentlich in Foren gehandelt wurde. Allerdings war es nach meinen Recherchen wohl eine CSV-Datei <em>kundenliste.csv<\/em>, k\u00f6nnte ein CSV-Export einer internen Datenbank gewesen sein. Die Benutzerdaten beziehen sich nicht auf Mastercard selbst, sondern umfassen Daten, die im Mastercard-Bonusprogramm Priceless Specials erhoben wurden. <\/p>\n<p>Laut heise enth\u00e4lt die Tabelle jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und h\u00e4ufig auch Postanschrift und Handynummern der Personen. Die meisten Daten beziehen sich auf Personen, die in Deutschland leben. 60 Eintr\u00e4ge befassen sich mit Mastercard-Mitarbeitern, hunderte Datens\u00e4tze zeigen auf Mitarbeiter von deutschen Banken. <\/p>\n<blockquote>\n<p>Die Webseite <a href=\"https:\/\/wortfilter.de\/deutsche-mastercard-kunden-daten-gelakt\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> hatte wohl viele Details online gestellt, hat diese jetzt aber anonymisiert. Wenn ich die Screenshots der verlinkten Webseite sowie <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz\/bereits-Ende-Juni-gemeldete-Datenproblem\/thread-6093668\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Kommentar<\/a> richtig interpretiere, wurde die Datei wohl kurzzeitig \u00fcber MyDealz geleakt. Die Plattform hat sich <a href=\"https:\/\/web.archive.org\/web\/20200929181746\/https:\/\/www.mydealz.de\/diskussion\/info-zu-potentiell-geleakten-mastercard-daten-1422287\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> dazu ge\u00e4u\u00dfert und unterbindet die Verbreitung. Der Download k\u00f6nnte \u00fcbrigens auch strafrechtliche Folgen haben, weshalb man die Finger von lassen solle, falls noch eine Kopie im Internet erreichbar sein sollte.<\/p>\n<\/blockquote>\n<h2>Mastercard sperrt den Zugriff<\/h2>\n<p>Der Berichterstattung nach war die Liste durch eine Fehlkonfiguration eines Mastercard-Servers \u00f6ffentlich abrufbar. Nachdem Mastercard auf das Datenleck aufmerksam gemacht wurde, sperrte das Unternehmen den Zugriff auf die Datei und setzte das Bonusprogramm Priceless Specials aus. Auf der <a href=\"https:\/\/web.archive.org\/web\/20210312080134\/https:\/\/specials.mastercard.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">Mastercard-Specials-Seite<\/a> erscheint folgende Meldung.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Mastercard-Meldung\" alt=\"Mastercard-Meldung\" src=\"https:\/\/i.imgur.com\/DeFkYvz.jpg\" width=\"611\" height=\"374\"\/><\/p>\n<p>&nbsp;<\/p>\n<blockquote>\n<p>Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsph\u00e4re sehr ernst und untersuchen dieses Problem mit Hochdruck.<br \/>Vorsorglich haben wir die Specials-Plattform umgehend geschlossen.<br \/>Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.<br \/><a href=\"mailto:support@specials.mastercard.de\">support@specials.mastercard.de<\/a><\/p>\n<\/blockquote>\n<p>Netter Versuch, die Daten sind geleakt, da w\u00e4re es spannend, ob Mastercard bereits der Datenschutzaufsicht den Vorfall gemeldet hat. Denn das ist ein Versto\u00df gegen die DSGVO. Zudem sind die pers\u00f6nlichen Daten von tausenden von Benutzern ein gefundenes Fressen f\u00fcr Phisher und Online-Betr\u00fcger.  <\/p>\n<h2>Sind die Daten echt?<\/h2>\n<\/p>\n<p>Heise schreibt, dass man davon ausgeht, dass es sich wohl um echte Daten handelt. Eine Sprecherin von Mastercard gibt an, dass man '<em>vorsorglich die Priceless-Specials-Plattform umgehend geschlossen habe\". <\/em>Liest sich wie eine Vorsichtsma\u00dfnahme und eher nicht wie eine Best\u00e4tigung der G\u00fcltigkeit der Daten. <\/p>\n<p>Golem hat die Datei von einem Benutzer erhalten. In einem Nachtrag vom 20. August schreibt Golem, dass die Daten echt sind. Die Daten eines Golem-Redakteurs wurden in der Tabelle gefunden. Weiterhin haben Leser gegen\u00fcber Golem best\u00e4tigt, dass dort ihre Daten enthalten sind. Auch bei heise gibt es Nutzer, die ihre Daten in der Datei gefunden haben (<a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz\/Ich-bin-betroffen-folgende-Daten-tauchen-von-mir-auf\/thread-6092748\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>, <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz\/Daten-sind-echt\/thread-6092721\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>). Potentiell betroffene Nutzer k\u00f6nnen unter <a href=\"https:\/\/web.archive.org\/web\/20240209005917\/https:\/\/sec.hpi.de\/ilc\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/sec.hpi.de\/ilc\/<\/a> pr\u00fcfen lassen, ob deren Daten betroffen sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine CSV-Datei mit den Daten zehntausender Nutzer des Mastercard-Bonusprogramm Priceless Specials ist wohl kurze Zeit in Foren aufgetaucht. Hier einige Informationen \u00fcber das Datenleck.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-221846","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221846"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221846\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}