Datenleck: Mastercard-Bonusprogramm Priceless Specials

Publiziert am 21. August 2019 von Günter Born

Eine CSV-Datei mit den Daten zehntausender Nutzer des Mastercard-Bonusprogramm Priceless Specials ist wohl kurze Zeit in Foren aufgetaucht. Hier einige Informationen über das Datenleck.

Anzeige

Erster Bericht bei heise Security

Heise berichtet erstmals über dieses Datenleck, welches auf das Mastercard-Bonusprogramm Priceless Specials zurückgeht in diesem Artikel.

Dem Artikel zufolge wurde heise Security auf einen Datensatz mit 90.000 Benutzerdaten aufmerksam gemacht, die laut heise als Excel-Tabelle öffentlich in Foren gehandelt wurde. Allerdings war es nach meinen Recherchen wohl eine CSV-Datei kundenliste.csv, könnte ein CSV-Export einer internen Datenbank gewesen sein. Die Benutzerdaten beziehen sich nicht auf Mastercard selbst, sondern umfassen Daten, die im Mastercard-Bonusprogramm Priceless Specials erhoben wurden.

Laut heise enthält die Tabelle jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und häufig auch Postanschrift und Handynummern der Personen. Die meisten Daten beziehen sich auf Personen, die in Deutschland leben. 60 Einträge befassen sich mit Mastercard-Mitarbeitern, hunderte Datensätze zeigen auf Mitarbeiter von deutschen Banken.

Die Webseite hier hatte wohl viele Details online gestellt, hat diese jetzt aber anonymisiert. Wenn ich die Screenshots der verlinkten Webseite sowie diesen Kommentar richtig interpretiere, wurde die Datei wohl kurzzeitig über MyDealz geleakt. Die Plattform hat sich hier dazu geäußert und unterbindet die Verbreitung. Der Download könnte übrigens auch strafrechtliche Folgen haben, weshalb man die Finger von lassen solle, falls noch eine Kopie im Internet erreichbar sein sollte.

Mastercard sperrt den Zugriff

Der Berichterstattung nach war die Liste durch eine Fehlkonfiguration eines Mastercard-Servers öffentlich abrufbar. Nachdem Mastercard auf das Datenleck aufmerksam gemacht wurde, sperrte das Unternehmen den Zugriff auf die Datei und setzte das Bonusprogramm Priceless Specials aus. Auf der Mastercard-Specials-Seite erscheint folgende Meldung.

Mastercard-Meldung

 

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck.
Vorsorglich haben wir die Specials-Plattform umgehend geschlossen.
Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.
support@specials.mastercard.de

Netter Versuch, die Daten sind geleakt, da wäre es spannend, ob Mastercard bereits der Datenschutzaufsicht den Vorfall gemeldet hat. Denn das ist ein Verstoß gegen die DSGVO. Zudem sind die persönlichen Daten von tausenden von Benutzern ein gefundenes Fressen für Phisher und Online-Betrüger.

Anzeige

Sind die Daten echt?

Heise schreibt, dass man davon ausgeht, dass es sich wohl um echte Daten handelt. Eine Sprecherin von Mastercard gibt an, dass man 'vorsorglich die Priceless-Specials-Plattform umgehend geschlossen habe". Liest sich wie eine Vorsichtsmaßnahme und eher nicht wie eine Bestätigung der Gültigkeit der Daten.

Golem hat die Datei von einem Benutzer erhalten. In einem Nachtrag vom 20. August schreibt Golem, dass die Daten echt sind. Die Daten eines Golem-Redakteurs wurden in der Tabelle gefunden. Weiterhin haben Leser gegenüber Golem bestätigt, dass dort ihre Daten enthalten sind. Auch bei heise gibt es Nutzer, die ihre Daten in der Datei gefunden haben (hier, hier). Potentiell betroffene Nutzer können unter https://sec.hpi.de/ilc/ prüfen lassen, ob deren Daten betroffen sind.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Datenleck: Mastercard-Bonusprogramm Priceless Specials

  1. Bernard sagt:
    21. August 2019 um 08:34 Uhr

    Dumm ist, dass das Mastercard 3-D Secure-Verfahren die Beweislast gegen den Kunden richtet.

    Kreditkarten waren sehr praktisch. Davon ist mit all diesen Verfahren nichts mehr übrig.

    Und die EU wird uns ab dem 14.09. den Rest geben:

    Dann braucht auch die Oma von nebenan ein Smartphone, um Banking betreiben zu können. EU-Schwachsinn hoch drei.

    Antworten
  2. Eduard sagt:
    21. August 2019 um 11:56 Uhr

    Es scheint aber noch ein anderes Datenleck bei Mastercard zu geben. Ich bin selbst davon betroffen:
    Offenbar wurden Daten für Mastercard Debitkarten abgefischt und für Abbuchungen genutzt. Diese Karten waren nicht für das Bonusprogramm freigegeben. In meinem Fall wurden damit Zahlungen in Brasilien getätigt. Mittlerweile sind alle Mastercard Debitkarten, die von meiner Bank ausgegeben worden sind, gesperrt.
    Von diesem Vorfall habe ich auch erst gestern erfahren, nachdem ich meine Bank wegen falschen Abbuchungen von meinem Konto kontaktiert habe.

    Antworten
  3. Anonymous sagt:
    21. August 2019 um 14:45 Uhr

    "Dann braucht auch die Oma von nebenan ein Smartphone, um Banking betreiben zu können." achwas….. ChipTAN!

    Antworten
  4. RUTZ-AhA sagt:
    21. August 2019 um 19:50 Uhr

    Heise wurde wohl ein zweites Datenleak von Mastercard zugespielt. Es wird zur Zeit noch geprüft, ob die Daten echt sind.

    https://www.heise.de/security/meldung/Mastercard-Leak-Zweite-Datei-mit-vollstaendigen-Kartennummern-aufgetaucht-4501701.html

    Antworten

Schreibe einen Kommentar zu Bernard Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.