Exklusiv

Mastercard-GAU: Jetzt kursieren komplette Kartennummern …

21. August 2019

Von Christian Kirchner

{Update mit Schreiben von Mastercard an betroffene Kunden von Donnerstag früh, 1 Uhr}

Die Panne beim Kreditkartenkonzern Mastercard zieht weiter Kreise: Seit gestern wird unter Nutzern diverser Internetforen eine weitere Liste mit 84.000 Kreditkartennummern herumgereicht und zum Download angeboten. In der ursprünglich  geleakten Teilnehmerliste des Mastercard-Bonusprogramm waren zwar umfangreiche persönliche Informationen enthalten (Name, Adresse, Geburtsdatum, Telefon) – in der Spalte der Kreditkartennummer wurden indes nur die ersten  beiden und letzten vier Ziffern genannte. Der Rest war mit einem „X“ versehen.

Es ist nicht sicher, ob die beiden Listen in einem direkten Zusammenhang stehen: Einige Nutzer erklärten in Foren, sie hätten ihre bei Mastercard registrierte Kreditkartennummer in der Liste vorgefunden, andere wiederum nicht. Der Verfasser dieses Artikels hier (sprich: Finanz-Szene.de-Redakteur Christian Kirchner, der selbst zu den Betroffenen zählt) konnte seine noch in der ersten Liste von Montag verschlüsselte Kreditkartennummer in der zweiten Liste in voller Länge finden.

Der neueste Leak legt nahe, dass Mastercard tatsächlich die vollständigen Kreditkartennummern von rund 90.000 Teilnehmern des Bonus-Programms abhanden gekommen sind – sei es durch einen Hacking-Angriff oder einen internen Missbrauch. Mastercard hatte am Dienstag auch auf Finanz-Szene.de-Anfrage hin erklärt, das Problem sei „von einem Drittanbieter verursacht worden“, ohne jedoch Details zu nennen.

Das Ablaufdatum der Karten und der dreistellige CVC-Code sind indes in keiner der beiden Listen enthalten. Das heißt, der Einsatz der Kreditkartennummern wäre etwaigen Betrügern in der Praxis erschwert.

In der Nacht auf Donnerstag hat Mastercard die betroffenen Kunden per eMail informiert. Hier das Anschreiben im Wortlaut.

Sehr geehrte/r Herr/Frau XXXX,

Wir schreiben Ihnen, um Sie über ein aktuelles Ereignis zu informieren, das sich auf Ihre in unserem Priceless Specials Programm erfassten personenbezogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienstleister betrieben. Wir möchten Ihnen zunächst versichern, dass dieses Ereignis keine Auswirkungen auf das Mastercard Zahlungsnetzwerk hat; der Vorfall ist beschränkt auf das Priceless Specials Programm. 

Was ist passiert?

Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.

Welche Informationen waren betroffen?

Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) ihrer Zahlungskarte wurden nicht offengelegt.

Welche Risiken bestehen?

Böswillige Dritte könnten Ihre Mastercard Zahlungskartennummer missbrauchen. Die betroffenen Daten könnten zudem verwendet werden, um Sie zu kontaktieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versuchen, über einen Täuschungsversuch personenbezogene Daten von Ihnen zu beschaffen (bekannt als „Phishing“). Diese böswilligen Dritten könnten sich als Mastercard ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Mastercard.

Mastercard wird Sie niemals direkt anrufen oder direkt per E-Mail kontaktieren, um persönliche Daten oder Kontoinformationen anzufordern. Betrügerische Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zuständigen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeintlich von Mastercard stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiterleiten.

Das unternehmen wir dagegen

Nachdem wir von der Veröffentlichung der Daten im Internet erfahren hatten, haben wir den Vorfall umgehend untersucht. Wir überwachen fortlaufend, ob die Daten an anderer Stelle im Internet veröffentlicht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.

Wir arbeiten eng mit den zuständigen Behörden zusammen, um diesen Vorfall zu untersuchen. Um Sie vor möglichen negativen Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profitieren. Um Ihr Konto zu aktivieren, senden Sie bitte eine E-Mail an germany@mastercard.com.

Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte. Und, wie immer, wird Mastercard Sie vor betrügerischen Abbuchungen und Transaktionen schützen. Siehe weitere Informationen hierzu unter: https://www.mastercard.de/de-de/faq.html#sicherheit.

Für weitere Informationen

Mastercard ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Angelegenheit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontaktieren.

Seien Sie versichert, dass wir daran arbeiten, jegliche Unannehmlichkeiten zu minimieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.

Ihr Specials-Team
 

Wer der „Drittanbieter“ ist, dem Mastercard die Verantwortung gibt, ist nicht mit Sicherheit zu sagen. Die Finanz-Szene.de vorliegende Liste liefert grobe Indizien, dass es sich um eine in London ansässige Agentur handeln könnte, die sich auf Gutscheine- und Loyalitätsprogramme sowie IT-Lösungen für Finanzkonzerne spezialisiert hat. Die Namen und E-Mail-Adressen stehen als erste Tester ganz oben auf der ursprünglichen Liste, die offenbar von Ende Juni stammt. Finanz-Szene.de bat das entsprechende Unternehmen um eine Stellungnahme – und erhielt ebenfalls bis gestern, 23 Uhr keine Antwort.

Hinweis: Der Autor ist selbst Betroffener der Panne und kann auf diesem Wege auch die Echtheit der ihm zur Verfügung gestellten Daten sowie Kreditkartennummern und die Kundenkommunikation aus Perspektive eines Betroffenen überprüfen. Auf den Inhalt und Gewichtung der Berichterstattung hat dies keinerlei Einfluss. 

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing