Gestohlene Kundendaten bei Mastercard: Der Datenskandal weitet sich aus

Der Datenskandal rund um das Mastercard-Bonusprogramm ist gravierender als befürchtet: Gestern meldeten wir, dass ein Datensatz mit knapp 90.000 persönlichen Einträgen von Kunden des Mastercard-Bonusprogramms Priceless Specials im Internet kursiert – heute wird klar, dass das erst die Spitze des Eisberges ist. Denn das Datenleck bei Mastercard ist noch viel größer – und jetzt geht es tatsächlich um Kreditkartendaten.

Als ob es nicht schon schlimm genug wäre, wenn persönliche Daten von knapp 90.000 Personen mit Mail-Adresse, Namen, Geburtstagen und teilweise Adressdaten aufgetaucht sind, bringen Unbekannte jetzt auch eine Liste mit unverschlüsselten Kreditkartennummern in Umlauf. Klar ist bisher, dass es sich bei der Liste um valide generierte Kreditkartennummern handelt, unklar ist, ob diese jeweils zu den bezeichneten Personen gehören. Auch wenn neben den Kreditkartennummern keine CVC-Nummern dabei sind, lässt sich mit den Daten eine Menge Kriminelles anstellen. Doch wenn die auch noch auftauchen, dürfte dem Kreditkartenanbieter nichts anderes übrig bleiben, als sämtliche Kreditkarten zu sperren und neu auszugeben.

Doch bei vielen Händlern kann man auch ohne die CVC-Daten einkaufen – ein echtes Sicherheitsproblem, zumal sich der Datenskandal offenbar dahingehend ausweitet, dass jetzt Vorwürfe auftauchen, Mastercard müsse schon seit Wochen von dem Datenleck gewusst haben. Der Datensatz, aus dem das Excel-Dokument generiert wurde, weist als neuesten Eintrag eine Anmeldung von 23. Juni auf.

Schon länger Probleme mit Mastercard Priceless-Specials-Gutscheinen

Viele Kunden hatten laut Mitteilungen in einschlägigen Schnäppchen- und Gutscheinforen bereits vor Wochen Probleme mit von dem Bonusprogramm von Mastercard ausgegebenen Gutscheinen, die immerhin einen Wert von bis zu 500 Euro haben können: Manche waren gar nicht (mehr) gültig, andere enthielten nicht den vollen vorgesehenen Betrag. Zusätzlich wurden in Kleinanzeigenmärkten und einem großen Auktionshaus im Netz bereits seit Wochen Gutscheine angeboten, die nicht personalisiert waren, sodass sich allenfalls über Umwege deren Herkunft nachvollziehen lässt. Die Abschläge auf den Nennwert waren teilweise so hoch, dass Kunden mit etwas Bauchgefühl die Finger davon ließen, auch wenn die Käufer solcher Gutscheine in diesem Fall wohl nicht zur Rechenschaft gezogen werden können.

Dennoch bleibt die Frage, die für das Vertrauen in das Unternehmen Mastercard eminent wichtig ist: Ab wann aber hatte Mastercard Kenntnis von Unregelmäßigkeiten – und warum wurde nicht im Vorfeld davor gewarnt oder die Kunden zumindest zum Ändern ihrer Zugangsdaten aufgefordert? Immerhin begann Mastercard wohl Mitte Juli damit, Gutscheine kommentarlos zu deaktiveren und den Nutzern Ersatzgutscheine auszustellen – aber laut Finanzszene.de nur auf Anfrage.

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen. Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.”

Offizielles Mastercard-Statement zum Datenskandal

Mit den nun aufgetauchten vollständigen Kreditkartendaten (wenn auch ohne die CVC-Merkmale) kann man unter bestimmten Voraussetzungen bereits Geld machen – siehe oben – oder aber sie tatsächlich mit einer pfiffigen Phishing-Attacke „veredeln“. Es besteht die Gefahr, dass Kunden nun ausschließlich nach ihren CVC-Daten gefragt werden – mit Hinweis auf eine Sicherheitsüberprüfung und dem Zusatz, dass man unter keinen Umständen die Kreditkartennummer angeben solle. Die brauchen die Kriminellen ja auch nicht, da sie sie schon haben und über entsprechende Cookies zuordnen können. Dagegen ist die Gefahr, die die Süddeutsche heraufbeschwört, den Kunden Ransomware unterzujubeln und sie damit zu erpressen, durch die erbeuteten Daten auch nicht höher geworden, als sie ohnehin ist.

Mastercard vermutet Datendiebstahl durch IT-Dienstleister

Mastercard macht laut Medienberichten für das Datenleck einen IT-Dienstleister verantwortlich – nähere Angaben hierzu macht das Unternehmen verständlicherweise nicht. Was man in diesem Zusammenhang aber bemängeln muss, sind die unverschlüsselte Speicherung der Daten sowie die nicht ausreichenden Sicherheitsvorkehrungen bei der Zugänglichmachung von persönlichen Daten der Kunden. Dabei muss sich Mastercard aber warm anziehen: Es ist davon auszugehen, dass das Ganze seitens der Datenschutzbehörden im Rahmen der DSGVO geahndet wird und gerade im Kontext eines Kreditkartenanbieters nicht als Kleinigkeit abgetan wird.

Und noch eine Sache dürfte sich ändern – und zwar für die gesamte Branche des bargeldlosen Bezahlens: Jeder sicherheitsrelevante Vorfall ist Wasser auf die Mühlen derer, die ohnehin Misstrauen gegenüber bargeldlosen Bezahlvarianten hegen. Insofern ist Schadenfreude von Mitbewerbern hier gänzlich fehl am Platz, weil die Probleme mit dem Mastercard-Bonusprogramm auch auf andere Unternehmen abfärben könnten – dahingehend, dass die ohnehin wenig kreditkartenaffinen Deutschen weiterhin allem misstrauen, was nicht Bargeld ist.

Etwas Hoffnung bleibt übrigens für Kunden, die sich bei Mastercard Priceless Specials registriert haben, allerdings noch: Laut Stimmen, die beispielsweise auch in diesem Forum auftauchen, haben nicht alle dort Registrierten „ihren“ Datensatz in dem Excel-Dokument (vielmehr einem der Excel-Dokumente – inzwischen sind ja mehrere in Umlauf) gefunden. Wie Sie nun vorgehen sollten, um zu prüfen, ob Ihre persönlichen Daten betroffen sind und was Sie generell im Kontext mit dem Datenskandal beachten sollten, erfahren Sie in unserem anderen Beitrag zum Thema. tw