{"id":221869,"date":"2019-08-21T23:46:30","date_gmt":"2019-08-21T21:46:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=221869"},"modified":"2021-08-30T23:49:27","modified_gmt":"2021-08-30T21:49:27","slug":"mastercard-datenleck-grer-als-befrchtet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/21\/mastercard-datenleck-grer-als-befrchtet\/","title":{"rendered":"Mastercard: Datenleck gr&ouml;&szlig;er als bef&uuml;rchtet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/08\/22\/mastercard-data-leak-larger-than-feared\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Wie es ausschaut, ist das gestern berichtete Datenleck beim Kreditkartenunternehmen Mastercard gr\u00f6\u00dfer als angenommen. Inzwischen ist eine Datei, die Kreditkartendaten enth\u00e4lt, aufgetaucht.<\/p>\n<p><!--more--><\/p>\n<h2>Ein kurzer R\u00fcckblick<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/fd4ccb59b3a849468632b8637fc932cd\" alt=\"\" width=\"1\" height=\"1\" \/>Im Internet ist vor einiger Zeit eine CSV-Datei mit den Daten von rund 90.000 Nutzern des Mastercard-Bonusprogramm Priceless Specials aufgetaucht. In der Datei finden sich jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und h\u00e4ufig auch Postanschrift und Handynummern der betroffenen Personen. Ich hatte im Blog-Beitrag Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/08\/21\/mastercard-bonusprogramm-priceless-specials-leakt-daten\/\">Datenleck: Mastercard-Bonusprogramm Priceless Specials<\/a> \u00fcber die Details berichtet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Mastercard-Meldung\" src=\"https:\/\/i.imgur.com\/DeFkYvz.jpg\" alt=\"Mastercard-Meldung\" width=\"611\" height=\"374\" \/><\/p>\n<p>Mastercard sperrte den Zugriff auf die Datei bzw. setzte das Bonusprogramm Priceless Specials aus. Auf der <a href=\"https:\/\/web.archive.org\/web\/20210312080134\/https:\/\/specials.mastercard.de\/\">Mastercard-Specials-Seite<\/a> erscheint die obige Meldung, dass dieses Problem (das Datenleck) keinerlei Auswirkungen habe und in keinem Zusammenhang mit dem Zahlungsnetzwerk von Mastercard steht.<\/p>\n<h2>Neue Hinweise auf gr\u00f6\u00dferes Datenleck<\/h2>\n<p>Kurz nach der Ver\u00f6ffentlichung des Artikels meldete sich ein Blog-Leser Eduard mit dem <a href=\"https:\/\/borncity.com\/blog\/2019\/08\/21\/mastercard-bonusprogramm-priceless-specials-leakt-daten\/#comment-76595\">Hinweis<\/a>, dass er ein gr\u00f6\u00dferes Datenleck vermutet. Der Leser schrieb:<\/p>\n<blockquote><p>Es scheint aber noch ein anderes Datenleck bei Mastercard zu geben. Ich bin selbst davon betroffen: Offenbar wurden Daten f\u00fcr Mastercard Debitkarten abgefischt und f\u00fcr Abbuchungen genutzt. Diese Karten waren nicht f\u00fcr das Bonusprogramm freigegeben. In meinem Fall wurden damit Zahlungen in Brasilien get\u00e4tigt. Mittlerweile sind alle Mastercard Debitkarten, die von meiner Bank ausgegeben worden sind, gesperrt.<br \/>\nVon diesem Vorfall habe ich auch erst gestern erfahren, nachdem ich meine Bank wegen falschen Abbuchungen von meinem Konto kontaktiert habe.<\/p><\/blockquote>\n<p>Auch im heise-Forum gibt es <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz\/Vollstaendige-Kartennummern\/thread-6094186\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Post<\/a>, der auf eine weitere Liste mit den vollst\u00e4ndigen Kreditkartendaten hinweist. Der Poster berichtet, dass seine Bank die Karten sperre \u2013 also genau das, was auch in obigem Kommentar berichtet wird. Kurz darauf gab es einen Hinweis von Blog-Leser RUTZ-AhA auf den nachfolgenden heise-Artikel.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Mastercard-Leak: Zweite Datei mit vollst\u00e4ndigen Kartennummern aufgetaucht <a href=\"https:\/\/t.co\/Fmg5M06Wvl\">https:\/\/t.co\/Fmg5M06Wvl<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Datenklau?src=hash&amp;ref_src=twsrc%5Etfw\">#Datenklau<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Datenleck?src=hash&amp;ref_src=twsrc%5Etfw\">#Datenleck<\/a><\/p>\n<p>\u2014 heise Security (@heisec) <a href=\"https:\/\/twitter.com\/heisec\/status\/1164253622210895876?ref_src=twsrc%5Etfw\">August 21, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Redaktion von heise wurde eine zweite Datei mit 84.000 Datens\u00e4tzen zugespielt, die die vollst\u00e4ndigen Kreditkartennummern der betreffenden Personen enth\u00e4lt. Bei heise schreibt man, dass in der Datei zus\u00e4tzliche Informationen wie Karteninhaber, Ablaufdatum oder CVC fehlen, betont aber, dass der Urheber m\u00f6glicherweise im Besitz dieser Daten sei. Laut heise ist die Echtheit des zweiten Leaks ungekl\u00e4rt.<\/p>\n<p>Das Manager-Magazin schreibt ebenfalls in <a href=\"https:\/\/www.manager-magazin.de\/unternehmen\/banken\/mastercard-das-datenleck-ist-offenbar-groesser-als-gedacht-a-1282997.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>, dass das Datenleck gr\u00f6\u00dfer als gedacht ist. Dort wird berichtet, dass der Internet-Unternehmer David Schirrmacher am Bonusprogramm Priceless Special teilnahm. Schirrmacher ist vom Datenleck selbst betroffen und erm\u00f6glichte dem Manager-Magazin einen Einblick in seine Daten. Seine Kreditkartennummer ist in der Datei enthalten.<\/p>\n<h2>Beschwerden bei hessischem Datenschutzbeauftragten<\/h2>\n<p>Der Vorfall d\u00fcrfte f\u00fcr Mastercard schon brisant werden. Einmal kommen wohl Schadensersatzforderungen bei Missbrauch auf das Unternehmen zu. Aber selbst ohne Missbrauch greift die Datenschutzverordnung (DSGVO), die die Erfassung personenbezogene Daten und deren Erhebung streng reglementiert. Durch das Leak sind personenbezogene Daten abgeflossen, was den Datensch\u00fctzer auf den Plan ruft. Laut Manager-Magazin liegen bis Mittwoch Morgen 35 Beschwerden beim hessischem Datenschutzbeauftragten vor.<\/p>\n<h2>Beschwerden \u00fcber Unregelm\u00e4\u00dfigkeiten seit Wochen<\/h2>\n<p>Im heise-Forum war ich Montag schon auf <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz\/bereits-Ende-Juni-gemeldete-Datenproblem\/thread-6093668\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Thread<\/a> gesto\u00dfen, zu dem ich mir keinen rechten Reim machen konnte. Im ersten Post schreibt ein Nutzer:<\/p>\n<blockquote><p>bereits Ende Juni gemeldete Datenproblem<\/p>\n<p>Wer die Liste vorliegen hat, kann ja mal nach MyDealz Mitarbeitern suchen- ein User hat z.B. \u00fcber 50 Accounts bei Priceless Specials erstellt. Wenn man nun noch beachtet, das MyDealzde quasi der Fokus im Marketing von PS war, und welchen \u00c4rger es mit den TUI Gutscheinen bzw den bereits Ende Juni bei MyDealzde gemeldetem Datenproblemen schon zuvor gab, wird klar was hier Motiviation f\u00fcr den \"Leak\" gewesen sein k\u00f6nnte. Letzte Datens\u00e4tze von Juni..<\/p><\/blockquote>\n<p>Recht kryptisch, aber was ich herausziehen kann: Es gab wohl bereits \u00c4rger mit TUI-Gutscheinen und der Plattform MyDealz wurden Ende Juni Datenschutzprobleme gemeldet. Im Artikel des Manager-Magazins weist man darauf hin, dass Online-Foren seit Wochen von Unregelm\u00e4\u00dfigkeiten berichtet wurde. Viele Kunden hatten sich bei Priceless Specials registriert, um von Rabattaktionen von Unternehmen wie Sixt, Tui oder Jochen Schweizer zu profitieren. Eine Reihe Kunden stellten aber fest, dass die Gutscheine von Dritten benutzt worden oder schon beim Einl\u00f6seversuch ung\u00fcltig waren. Nicht personalisierte Pr\u00e4men-Gutscheine tauchten Ende Juni 2019 mit Abschlag bei Aktionsplattformen wie eBay auf.<\/p>\n<h2>Mastercard beschuldigt Drittanbieter<\/h2>\n<p>Sowohl das Manager-Magazin als auch heise weisen in ihren Artikeln, unter Bezug auf eine Unternehmenssprecherin, darauf hin, dass Mastercard einen \"Drittanbieter\" f\u00fcr das Leck verantwortlich mache. Das Manager-Magazin gibt an, dass im Datensatz die Namen von Mitarbeitern einer Agentur, die IT-L\u00f6sungen anbiete, zu finden seien. Allerdings ist das alles unbest\u00e4tigt. Verbrauchersch\u00fctzer raten Personen, die beim Mastercard Bonusprogramm Priceless Specials registriert waren und dort ihre Kreditkartendaten angegeben habe, die Karte sperren zu lassen. Bleibt die Frage, was noch ans Tageslicht kommt. Ist nur das deutsche Priceless Specials-Bonusprogramm betroffen, oder trifft es auch andere L\u00e4nder? Auf der <a href=\"https:\/\/web.archive.org\/web\/20210525041125\/https:\/\/specialsfr.priceless.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">franz\u00f6sischen Bonusprogramm-Seite<\/a> ist noch nichts zu finden. Eine unsch\u00f6ne Geschichte ist es auf jeden Fall.<\/p>\n<h2>Erg\u00e4nzung: Mastercard informiert Betroffene<\/h2>\n<p>Bei heise berichtet man in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Nach-dem-Datenleck-Mastercard-benachrichtigt-Kunden-4502408.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>, dass Mastercard sich endlich durch gerungen hat, Betroffene \u00fcber das Datenleak zu informieren. Priceless-Specials-Nutzer sollten jetzt eine E-Mail mit einer entsprechenden Benachrichtigung erhalten.\u00a0Weiterhin bietet Mastercard Kunden, laut heise, ein Jahr lang eine kostenlose Bonit\u00e4ts\u00fcberwachung an.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/21\/mastercard-bonusprogramm-priceless-specials-leakt-daten\/\">Datenleck: Mastercard-Bonusprogramm Priceless Specials<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/28\/mastercard-kartenbetrug-15-millionen-euro-schaden-und-2-000-betroffene-bei-der-oldenburgischen-landesbank\/\" rel=\"bookmark\">Mastercard: Kartenbetrug, 1,5 Millionen Euro Schaden und 2.000 Betroffene bei der Oldenburgischen Landesbank<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wie es ausschaut, ist das gestern berichtete Datenleck beim Kreditkartenunternehmen Mastercard gr\u00f6\u00dfer als angenommen. Inzwischen ist eine Datei, die Kreditkartendaten enth\u00e4lt, aufgetaucht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-221869","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221869"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221869\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}