Datenleck bei Mastercard: 90.000 Kunden des Bonusprogramms betroffen  

Der Kreditkartendienstleister Mastercard hat derzeit offenbar ein ernsthaftes Datenproblem: Fast 90.000 Datensätze vornehmlich deutscher Kunden sind im Netz aufgetaucht und kursieren dort auch immer noch über diverse Direktdownloader und im Usenet. Jetzt hat das Unternehmen die Notbremse gezogen und schließt vorerst sein Bonusprogramm Priceless Specials. Doch das dicke Ende kommt erst noch, weil man damit rechnen kann, dass die Daten für Phishing genutzt werden. 

Unbezahlbar ist  die Sicherheit von Daten – denn der Preis in Sachen Image und Kundenvertrauen, den Unternehmen dafür zahlen, dass sie die Daten ihrer Kunden sicher wissen, kann in der Tat kaum  beziffert werden. Ob Mastercard bei der Wahl seines Bonusprogramms Priceless Specials daran gedacht hat, ist nicht bekannt – dennoch hat es Mastercard jetzt offenbar erwischt: So kam eine Datenbank mit Daten von rund 90.000 Personen am Montag und Dienstag dieser Woche kurzfristig via Internet in Umlauf – über One-Click-Hoster und Quellen im Usenet verbreitete sich der Datensatz relativ schnell in einschlägigen Online-Foren. Es gibt aber dadurch etliche Kopien der Datensätze im Excel-Format, die beispielsweise auch Medienvertretern vorliegen.

Die von verschiedener Seite als authentisch eingestuften Datensätze enthalten Vor- und Nachname des Kunden, seinen Wohnort, Geburtsdatum und die E-Mail-Adresse – ferner auch die ersten und letzten vier Ziffern der Kreditkartennummer. In vielen Fällen ist die komplette Anschrift des Kunden mitsamt Telefonnummer zu finden – wobei sich die Frage ohnehin stellt, wie dies mit dem Gebot der Datensparsamkeit in Einklang zu bringen ist. Es handelte sich in letzterem Fall aber immerhin um freiwillige Angaben das Kunden. Darunter sind auch etliche Datensätze, die offenbar Mastercard-Mitarbeitern zuzuordnen sind sowie etliche Datensätze von Mitarbeitern deutscher Kreditinstitute. Einige der Datensätze sind aufgrund von offensichtlichen Fake-Namen unbrauchbar, in den meisten Fällen dürfte man aber mit den Daten und etwas krimineller Energie etwas anfangen können.

Mastercard schließt Priceless-Specials-Plattform – vorerst

Mastercard erklärt laut Medienberichten, man habe derzeit keine genauen Erkenntnisse über die technischen Hintergründe und die Anzahl der Betroffenen. Auch bestätigte das Unternehmen nicht, dass diese tatsächlich aus dem Mastercard Bonusprogramm Priceless Specials stammen. Immerhin schloss Mastercard das Bonusprogramm erst einmal, bis der Fall geklärt ist.

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen. Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.”

Mastercard-Statement

Mastercard hatte das Bonusprogramm Anfang 2018 gestartet – bei dem kostenlosen Programm erhält der Kunde Bonuspunkte für seine Transaktionen, die gegen Prämien eingetauscht werden können. Schon deswegen ist davon auszugehen, dass Mastercard das Programm nur vorübergehend schließt.

Mastercard und andere Leaks: Wer betroffen ist

Kunden, die sich für die Priceless Specials registriert haben, sollten zunächst wachsam sein. Auch wenn offenbar keine Passwörter mit übertragen wurden und, wie Mastercard betont, keine Daten übertragen wurden, die in Zusammenhang mit dem Zahlungsverkehr stehen, ist die Datenbank eine hervorragende Grundlage für Kreditkarten-Phishing – denn jeder der eingetragenen Kunden dürfte mindestens über eine Mastercard verfügen, wenn er diese nicht inzwischen abgegeben hat. Es ist nicht ganz klar, von wann der Datenbank-Snapshot stammt und wie die Kriminellen in seinen Besitz kamen. Phishing-Mails mit authentischem deutschsprachigem Inhalt dürften in nächster Zeit jedenfalls zunehmen, nachdem die Daten jetzt erst einmal in Umlauf sind.

Die Liste wurde übrigens bereits (mit den üblichen Pseudonymisierungsmaßnahmen) in die einschlägig bekannte HPI-Identity-Checker-Datenbank des Hasso-Plattner-Instituts gepackt. So kann jeder sehen, im Rahmen welcher von insgesamt aktuell 934 Leaks Daten von ihm erbeutet wurden. In vielen Fällen steht dann auch dabei, welche Daten (etwa E-Mail-Adresse, Vor- und Nachname oder Kreditkarteninformationen) in Umlauf sind. Auf jeden Fall sollte man in all diesen Fällen schleunigst neue Passwörter wählen – und auch dafür sorgen, dass die dort auffindbaren Passwörter nicht auch noch an anderer Stelle verwendet werden.tw