Kreditkartendaten offen im Netz

Mastercard-Datenleck nimmt größere Ausmaße an

22.08.2019, 13:49 Uhr | dpa, str, avr, t-online

Die Datenpanne beim Mastercard-Bonusprogramm ist offenbar schlimmer als zunächst angenommen. Das Unternehmen kommt langsam aus der Deckung und informiert die Betroffenen.

Bei dem Datenleck im Mastercard-Bonusprogramm "Priceless Specials" sind auch Listen mit vollständigen Kartennummern von Zahlungskarten in Umlauf gelangt. Mastercard teilte Kunden am Donnerstag mit, dass "möglicherweise" auch ihre Zahlungskartennummer betroffen sei, mit der sie sich bei dem Programm angemeldet hatten. In ersten bekanntgewordenen Listen waren die Nummern noch bis auf die letzten vier und ersten zwei Ziffern unkenntlich.

Immerhin waren das dazugehörige Ablaufdatum und die Prüfnummer auf der Rückseite der Karte nicht Teil des Datenlecks. Damit können die geleakten Kartennummern nicht direkt für Einkäufe im Internet verwendet werden, weil dabei mindestens auch das Ablaufdatum abgefragt wird.



Mastercard hat eine Hilfe-Seite eingerichtet, auf der alle Fragen zu dem Vorfall beantwortet werden sollen.

Nach bisherigem Kenntnisstand wurden die beiden Zusatzinformationen nicht bei der "Priceless"-Anmeldung erhoben und sollten in der Datenbank gar nicht erst enthalten sein.

Gefahr droht vor allem durch Phishing-Betrüger

Mastercard verwies darauf, dass ein Dienstleister, der das Bonusprogramm betrieb, "einen Sicherheitsvorfall erlitten" habe. Es gebe dabei keine Verbindung zum Zahlungsnetzwerk von Mastercard.

Es besteht aber weiter die Gefahr, dass Online-Kriminelle mit den in Umlauf gelangten Informationen wie der E-Mail-Adresse, dem Geburtsdatum, der Handynummer oder der Anschrift fingierte E-Mails verschicken können, um zum Beispiel an Passwörter zu kommen. Nach Informationen aus Branchenkreisen teilte Mastercard den ausgebenden Banken bereits mit, dass der Konzern die Kosten übernehmen werde, wenn Kunden nach dem Datenleck ihre Karten umtauschen wollen.

Ein Fall für die Aufsichtsbehörden



Mehrere Tausend Kunden von Mastercard sind von dem Datenleck betroffen. Unbekannte hatten die rund 90.000 Datensätze in einem Online-Forum veröffentlicht, wo sie am Montagabend entdeckt wurden. Wie die Kundendaten aus dem Bonusprogramm "Priceless Specials" in Umlauf geraten konnten, ist noch unklar.

Das Datenleck beschäftigt nun die zuständigen Aufsichtsbehörden. "Auch wenn das Zahlungssystem von Mastercard nicht betroffen ist, handelt es sich um einen Datenschutzverstoß, wenn die Daten tatsächlich von Mastercard stammen sollten", teilte Michael Kaiser, Sprecher des hessischen Datenschutzbeauftragten, auf Nachfrage t-online.de mit. Der Vorfall werde nun untersucht.

Datenschutz- und Informationspflichten verletzt?

Da Mastercard seinen europäischen Hauptsitz allerdings in Belgien hat, sei eine Brüsseler Behörde für die Aufklärung zuständig. Der hessische Datenschutzbeauftragte bleibt aber der Ansprechpartner für die mehrheitlich deutschen Betroffenen. Etwa 35 Einzelbeschwerden seien bereits eingegangen und würden in den kommenden Tagen beantwortet, so Kaiser.

Sollte sich herausstellen, dass Mastercard oder ein Dienstleister fahrlässig mit den Nutzerdaten umgegangen ist und somit die illegale Veröffentlichung selbst verschuldet hat, drohen empfindliche Strafen. Laut der europäischen Datenschutz-Grundverordnung (DSGVO) muss ein Unternehmen derartige Datenpannen zudem umgehend an die zuständigen Aufsichtsbehörden melden. Tatsächlich sei eine entsprechende Meldung von der Mastercard Europe SA am 21. August beim hessischen Datenschutzbeauftragten eingegangen, so Kaiser.

Nachfragen von t-online.de ließ der Kreditkartenanbieter bisher unbeantwortet.

Hinweis: Ursprünglich hatte das Büro des Datenschutzbeauftragten angegeben, dass keine Mitteilung zum Datenleck eingegangen sei. Tatsächlich lag die Nachricht aber bereits am Mittwoch vor, war jedoch noch nicht verarbeitet worden. Diese Angaben wurden daher nachträglich korrigiert. (UPDATE vom 22. August 2019)

Ebenfalls am Mittwoch wies ein Betroffener auf Twitter darauf hin, dass im Netz Versionen des geleakten Datensatzes kursierten, in denen die Kreditkartennummern im Klartext zu sehen sind. Ablaufdatum und CVC-Nummern seien aber nicht enthalten.

Meine Kartennummer ist im Klartext in der derzeit kursierenden neuen Liste enthalten. Die Nummern wurde also irgendwo in unverschlüsselter Form abgegriffen. Das ist schon echt hart. — René Hesse (@ReneHesse) August 21, 2019

Sind Sie betroffen? E-Mail-Adresse prüfen

Das besonders Gefährliche an solchen Datenlecks ist die Möglichkeit für Online-Kriminelle, E-Mails zu fabrizieren, die täuschend echt aussehen, um Nutzern Passwörter und weitere Informationen abzujagen.

Wer prüfen will, ob seine E-Mail-Adresse von einem Datenhack betroffen ist, kann das auf den Websites haveibeenpwned.com oder dem Identity Leak Checker des Hasso-Plattner-Instituts tun. Beide Seiten gleichen die Mails mit Informationen aus bisherigen Datenlecks ab. Bis die Informationen aus dem Mastercard-Leck hier erfasst werden, kann es aber einige Zeit dauern.

Wenn die eigene Mail-Adresse betroffen ist, sollten Nutzer sofort das Passwort ändern. Das gilt auch für alle Portale, für die die E-Mail-Adresse verwendet wird. In unserem Ratgeber zeigen wir, wie Sie vergesse Accounts finden und löschen können.

Wo die Daten herkommen

Mastercard hatte "Priceless Specials" Anfang vergangenen Jahres in Deutschland an den Start gebracht. Bei dem kostenlosen Programm bekommt man für Transaktionen Bonuspunkte, die gegen Prämien eingetauscht werden können.







Mastercard teilte am Montag mit, die Plattform des Bonusprogramms sei vorsorglich geschlossen worden. "Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck." Zugleich betonte Mastercard, es gebe keinen Zusammenhang mit dem Zahlungsnetzwerk des Unternehmens.