Exklusiv

Die wahre Geschichte hinter Mastercards Datenpanne

21. August 2019

Von Christian Kirchner

Die Panne im Bonusprogramm „Priceless Specials“ von Mastercard reicht erheblich tiefer als bislang bekannt. Nach Informationen von Finanz-Szene.de hat der Kreditkartenanbieter bereits seit zwei Monaten massive Probleme mit den Gutscheinen des Programms, die einen Wert von bis zu 500 Euro hatten. Die Coupons sind der Kern des Mastercard-Prämiensystems, in dem Kunden für Umsätze Punkte erhalten, die sie in Gutscheine tauschen können.

Anzeige

Unseren Recherchen zufolge klagten Teilnehmer des Programms bereits vor Wochen, ihre Gutscheine – etwa vom Reisekonzern TUI – seien von unbekannten Dritten benutzt worden, teilweise angebrochen oder schlicht ungültig. Zudem tauchten Gutscheine-Großhändler auf Auktionsplattformen und anderen Internetquellen auf, ohne preiszugeben, woher ihre Gutscheine genau stammten.

Spätestens ab 10. Juli – mithin also bereits vor sechs Wochen – häuften sich in einschlägigen Foren und auf Social Media die Hinweise (siehe Dokumentation weiter unten), dass das Mastercard-Bonusprogramm ein massives Datenproblem haben oder Opfer eines Hackerangriffs sein könnte – bis hin zu öffentlichen Beiträgen an die Adresse von Mastercard selbst.

Ein Zusammenhang zwischen den massiven Gutscheinproblemen und dem seit Montag im Internet kursierenden Datensatz von über 90.000 Teilnehmern des Bonusprogramms „Priceless Specials“ im Internet ist zwar nicht erwiesen – liegt aber nahe. Denn: der letzte Eintrag der nun kursierenden Liste mit chronologisch nach Anmeldung sortierten Nutzern samt zahlreicher persönlicher Angaben (PLZ, Wohnort, E-Mail, Geburtsdatum, Telefonnummer, letzte vier Ziffern der Kreditkarte) datiert auf den 23. Juni. Unmittelbar darauf eskalierte das Gutscheinproblem und häuften sich die öffentlichen Mutmaßungen über ein mögliches Datenleck.

Finanz-Szene.de bat Mastercard um eine Stellungnahme zu dem möglichen Zusammenhang, der womöglich bedeuten würde, dass seit zwei Monaten Probleme bestehen, ohne dass Nutzer aktiv darüber informiert worden wären.  Der US-Konzern wollte unsere Fragen allerdings nicht konkret beantworten und teilte lediglich mit, man sei „auf ein Problem bei der Specials-Treueplattform in Deutschland aufmerksam gemacht [worden], das von einem Drittanbieter verursacht wurde“ und „untersuche dieses Thema mit Hochdruck“.

Von der Mega-Panne (bei der die Liste der Betroffenen selbst gestern noch für jedermann leicht google- und herunterladbar war) betroffen sind Teilnehmer, die sich ab dem Start im Januar 2018 und bis zum 23. Juni 2019 beim deutschsprachigen Bonusprogramm „Priceless Specials“ von Mastercard registriert haben. Nach Anmeldung und Hinterlegung ihrer Kreditkarte(n) erhielten die Nutzer Punktegutschriften („Coins“) für den Einsatz ihrer Mastercard, die sie wiederum in Prämien-Gutscheine eintauschen konnten, etwa bei Mytoys, Tank&Rast, Foodora, Flixbus oder eben TUI.

Der Ablauf der letzten Wochen war nach Recherchen von Finanz-Szene.de wie folgt: Ab Ende Juni tauchten beim Online-Auktionshaus Ebay sowie auf anderen Plattformen zunächst massenhaft (nicht personalisierte) Prämien-Gutscheine auf, die mit einem kräftigen Abschlag auf ihren Nennwert zum Kauf angeboten wurden. Finanz-Szene.de liegt ein Screenshot vor, in der ein Nutzer am 10. Juli TUI-Reisegutscheine im Wert von 500 Euro zu 175 Euro und im Wert von 300 Euro zu 105 Euro anbot – ein Top-Geschäft für alle, die ohnehin Pauschalreisen bei TUI buchen wollen.

Zugleich begannen Anfang Juli die Kundenbeschwerden auf Social Media und in Foren. Hier einige Beispiele:

  • „Mein ungültiger/inaktiver Gutschein war bereits bei der Reise eines anderen Kunden hinterlegt“, schrieb ein Nutzer Mitte Juli bei mydealz.de.
  • „Ich musste eben feststellen, dass der 300€ Gutschein nur noch 114€ Restguthaben hat. Wir haben bislang keinerlei Gutscheine eingelöst“ gab ein anderer User zu Protokoll.
  • „Wurde Mastercard Priceless Specials gehackt? Oder wie konnte meine Prämie, ein TUI Gutschein, von einer fremden Person teilweise eingelöst werden?“ fragte ein Nutzer auf Twitter.
  • „Ich habe vor sechs Tagen (das hieße: am 16. Juli, d. Red.) Ihren Datenschutzbeauftragten angeschrieben über einen möglichen Hack im Priceless Point System. Bisher habe ich keine Antwort erhalten, wann kann ich mit einer Antwort rechnen?“ postete ein Nutzer unter Klarnamen am 25. Juli auf der Facebook-Seite von Mastercard Deutschland. – und kommentierte, es habe sich niemand gemeldet. 
  • „Hatte seit Mai zwei Gutscheine, die auch bis vor ein paar Tagen gültig waren, jetzt sind sie lt. TUI schon von jemand anderen eingelöst, was absolut nicht sein kann. Und das waren immerhin insgesamt 500€“, schrieb ein weiterer User
  •  „What’s going on with the already redeemed #tui vouchers on Mastercard Priceless? Have you been hacked? Are our data save?“ erkundigt sich ein besorgter Twitter-Nutzer. 

Mastercard begann offenbar am 16. Juli,  die umlaufenden TUI-Gutscheine kommentarlos zu deaktivieren. Nur auf Anfrage erhielten Nutzer Ersatz. Die Quelle der massenhaft zum Verkauf angebotenen Gutscheine blieb unbekannt, spekuliert wurde indes rasch über ein Datenleck im Priceless-System. Mastercard wollte auf Finanz-Szene.de-Anfrage keine Stellung nehmen, aus welchem Grund die Gutscheine deaktiviert wurden. Ebenso unbeantwortet blieb die Frage, wie die zeitliche Koinzidenz zu erklären sei

Am Montag dieser Woche erhielt dann ein Blogger einen Hinweis auf den im Netz kursierenden Datensatz. Der Blogger bot die Datei anschließend (und bis Dienstag nachmittag weiterhin) frei  zum Download über seine Internetseite an. Seine Begründung: So könnten Betroffene prüfen, ob sie auf der Liste seien. Anschließend war die massive Verbreitung nicht mehr zu stoppen.

Mastercard veröffentlichte am Montag  drei dürre Zeilen („nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck“) und sperrte die Seite des Bonusprogramms. Am Dienstag schob der Konzern noch nach, das Problem sei von einem „Drittanbieter“ verursacht worden.

Aber von wem? Spitze der Peinlichkeit ist, dass sich aus der Liste der angemeldeten Nutzer auch die Initiatoren und Programmierer hinter dem Bonusprogramm und der Datenbank identifizieren lassen. Sie haben die jeweils ersten fortlaufenden Nummern. Finanz-Szene.de liegt der Datensatz vor.

Mastercard drohen nun hohe Strafen. Aufgrund der Datenschutzverordnung DSGVO sind personenbezogene Daten und deren Erhebung durch Unternehmen noch strenger reglementiert. Zahllose Nutzer kündigten bereit an, sie hätten Anzeige erstattet und Ermittler informiert. Die kursierenden Daten der 90.000 Betroffenen könnten Kriminelle auch ohne Kreditkartennummern für einen Identitätsdiebstahl nutzen.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing