Mastercard-Leak: Nutzerdaten sind im Umlauf
Bei Mastercard Priceless Specials hat es ein schweres Datenleck gegeben. Daten von rund 90.000 Teilnehmern, die sich auf der deutschen Plattform für Priceless Specials registriert haben, kursieren im Internet. Priceless Specials ist ein Bonusprogramm, Betreiber ist die Kreditkartengesellschaft Mastercard. Man sammelte jeweils einen Coin, wenn man mit einer registrierten Mastercard zahlte; die Coins konnten in Leistungen von Partnern wie FlixBus, maxdome oder TUI eingetauscht werden. Am 19.8.19 tauchte eine Datei in einem öffentlichen Online-Forum auf, die Name, Geburtstag, Geschlecht, Anschrift, E-Mail-Adresse sowie Kreditkartennummer von Teilnehmern des Bonusprogramms listete, und in einigen Fällen auch die Handynummer. In dieser Datei waren von den Kreditkartennummern jeweils nur die ersten beiden und letzten vier Ziffern in Klarschrift, der Rest war mit einem "X" unkenntlich. Mehrere Nutzer des Forums speicherten die Datei, später wurde sie teilweise herumgereicht, weil viele prüfen wollten, ob sie auf der Liste stehen. Wer die Daten entwendet hat und warum, ist bis jetzt unklar. Nach bisherigem Kenntnisstand war der CVC-Code auf der Kartenrückseite nicht Teil des Datenlecks, da er nicht bei der Priceless-Anmeldung erhoben wurde.
Am 21.8.19 wurde auf verschiedenen Internetseiten eine weitere Datei verfügbar gemacht. Diese neu aufgetauchte Datei besteht aus einer Liste mit 84.000 Kreditkartennummern in voller Länge. Die Nummern stehen ohne zusätzliche Informationen wie Name, Anschrift usw. Einige von dem Datenleck betroffene Teilnehmer erklärten in Foren, sie hätten ihre bei Priceless Specials registrierte Kreditkartennummer in der Liste vorgefunden. Somit scheint die Echtheit der zweiten Datei zumindest in Teilen bestätigt, was wiederum darauf hindeutet, dass tatsächlich bei dem Leak die vollständigen Kartennummern abhandengekommen sind; vielleicht auch weitere Details, etwa das Ablaufdatum der Karte, das verwendete Passwort (das eventuell auch für andere Dienste verwendet wird) und stattgefundene Transaktionen.
Mastercard sperrte in einem ersten Schritt den Eingang zur Internetplattform des Bonusprogramms und schrieb auf der Homepage, dass sie das Programm ausgesetzt haben und das Problem mit Hochdruck untersuchen. Eine zähe Kommunikation machte den Vertrauensverlust eher noch größer: Bis sich Mastercard weiter äußerte, und vor allem die Kunden über das Datenleck informierte, verging einige Zeit, erst am 22.8.19 um 1 Uhr nachts wurde eine E-Mail an alle Teilnehmer des Bonusprogramms gesendet. Das Problem sei von einem Dienstleister verursacht worden. Wer der Dienstleister ist, sagt Mastercard nicht. Ebenso kein Wort der Entschuldigung, sondern nur die Bitte um Verständnis. Als mögliche Risiken für Betroffene nennt Mastercard den Missbrauch der Kartennummern und Phishingversuche auf Basis der abgegriffenen Daten. Mastercard habe das jeweilige kartenausstellende Institut der Betroffenen informiert, arbeite zur Klärung des Vorfalls eng mit den zuständigen Behörden zusammen und werde alles tun, um die Daten zu entfernen, wenn sie an anderer Stelle im Internet veröffentlicht werden. Um die negativen Folgen zu mindern, bietet Mastercard allen Teilnehmern von Priceless Specials in der Nachricht an, auf Wunsch eine einjährig kostenlose Mitgliedschaft bei einem "Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl" einzurichten. Auf Nachfrage teilte Mastercard mit, dass es sich um einen Dienst der Firma Experian handele, diese hat ihren Hauptsitz in Dublin.
Wer überprüfen möchte, ob seine Daten in der zuerst aufgetauchten Datei stehen, kann dies über den Identity Leak Checker des Hasso-Plattner-Instituts herausfinden. Der Online-Service gleicht die eingegebene E-Mail-Adresse mit einer Datenbank ab und verschickt unmittelbar eine Antwort, ob im Zusammenhang mit der E-Mail-Adresse Leaks bekannt sind. Es dürfte jedoch nahezu jeder, der bei dem Bonusprogramm angemeldet war, von dem Leak betroffen sein. Anzuraten ist, die Umsätze der registrierten Karte zu prüfen, und, sofern noch nicht von der kartenausstellenden Bank veranlasst, die Karte sperren zu lassen und eine kostenfreie Ersatzkarte zu fordern. Die Angriffsfläche für Pishingversuche ist mit den Daten größer denn je, deshalb gilt es, am Telefon und bei Briefen und E-Mails noch vorsichtiger zu sein. Natürlich entbindet es Mastercard nicht der Haftung, wenn das Problem bei einem beauftragten Dienstleister entstanden ist, und natürlich steht es jedem Betroffenen auch frei, seine Datenschutzrechte zu nutzen. Beispielsweise erfährt man mit einem Auskunftsersuchen gemäß DSGVO an Mastercard, welche personenbezogenen Daten überhaupt gespeichert waren, und bei missbräuchlicher Verwendung dieser Daten lässt sich damit möglicherweise leichter ein Zusammenhang belegen.