Priceless-Datenleak: Komplette MasterCard-Nummern im Netz
Der Hack des Priceless Specials Bonusprogramms von Mastercard weitet sich aus.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de
Das gestern gemeldete Mastercard-Daten-Problem hat inzwischen neue Dynamik bekommen. Im Internet ist eine weitere Datei aufgetaucht,
die es in sich hat: Sie enthält eine kommentarlose Liste von vollständigen (!) Kreditkartennummern, von denen einige oder vielleicht sogar alle beim Bonusprogramm
"Mastercard Priceless Specials" angemeldet waren.
Liste enthält echte Nummern: Kartenmissbrauch möglich?
Der Hack des Priceless Specials Bonusprogramms von Mastercard weitet sich aus.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de
Der bereits gestern betroffene teltarif.de-Leser hat die Liste geprüft: Eine seiner drei bei Priceless angemeldeten Kartennummern ist in dieser Liste enthalten.
Im Internet meldeten sich zahlreiche andere Nutzer, die ebenfalls die "Echtheit" der Nummern bestätigten.
Nun ist es selbst mit dieser und in Verbindung mit der gestern veröffentlichten Liste noch nicht eindeutig möglich, jedem namentlich genannten Kunden seine Kreditkarte eindeutig zuzuordnen. Das ist aber auch nicht unbedingt notwendig. In machen Shops scheint die Angabe einer gültigen Kreditkartennummer zu reichen. Für das Einkaufen mit Kreditkarte wird oft noch der CVC Sicherheitscode verlangt, ferner das Ablaufdatum. Doch ergaben Umfragen unter Nutzern, dass eine Kreditkartennummer auch dann funktioniert, wenn das Ablaufdatum (versehentlich) falsch angegeben wurde, auch der CVC-Code (üblicherweise auf der Rückseite der Karte) wird von vielen Händlern gar nicht abgefragt.
Was tun?
Wem die Situation "unheimlich" vorkommt, kann bei der Stelle, welche die eigene Mastercard-Kredit- oder Debitkarte herausgegeben hat, eine neue beantragen. Einem N26-Kunde wollte die Hotline zunächst einmalig 6 Euro für die neue Karte abnehmen, auf Nachfrage erhielt er die Antwort, "selbstverständlich erhalten Sie in diesem Falle die neue Karte kostenlos".
Aufgrund der hohen Zahl von Betroffenen (rund 100.000) sollte damit gerechnet werden, dass die Hotlines, speziell von günstigen Internet- oder Discount-Banken nicht so einfach zu erreichen sein werden. Experten vermuten, dass MasterCard von sich aus (irgendwann) alle in den Listen genannten Nummern sperren und den Kunden automatisch eine neue Karte zuschicken könnte. Bislang gibt es von MasterCard noch keine Stellungnahme dazu.
Bin ich betroffen?
Nicht jeder mag sich im Internet auf die Suche nach den Kartenlisten machen, zumal solche Listen teilweise auf "merkwürdigen" Webseiten, die mit allerlei Download-Fallen und nerviger Werbung überfrachtet sind, gefunden werden müssen. Das Hasso-Plattner Institut in Potsdam (HPI) hat die Namensliste bereits in seine Sicherheits-Datenbank aufgenommen. Auf der Seite https://sec.hpi.de/ilc/search?lang=de kann man seine E-Mail-Adresse eintragen. Wenige Minuten später erhält man eine E-Mail mit Hinweisen, ob die eigene E-Mail-Adresse in verdächtigen Datenbanken gesichtet wurde oder ob sie vom "Priceless" Leck betroffen ist. Dieser Service prüft auch, ob die genannte E-Mail-Adresse in anderen Lecks aufgetaucht ist, ähnlich der Seite haveibeenpwned.com.
Kartenabrechnungen prüfen!
In jedem Falle sollten betroffene Kunden ihre Kartenabrechnungen genau prüfen und sich sofort bei der eigenen Bank melden, wenn "Fehlbuchungen" bemerkt werden sollten. Auch alle ankommende E-Mails oder Anrufe auf dem hinterlegten Handy zum Thema Kreditkarte sollten genau auf Echtheit geprüft werden. Die Wahrscheinlichkeit ist groß, dass Trittbrettfahrer versuchen werden, an die fehlenden Daten zu gelangen, um richtig Schaden anzurichten.
Weitere Informationen zu dem Datenleck mit der ersten Reaktion von Mastercard finden Sie hier und hier.