Kundendaten von MasterCard im Internet aufgetaucht
Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen.
Screenshot: teltarif.de
Beim Bonus-Programm des Kreditkarten-Anbieters MasterCard gab es vermutlich ein Datenleck. Zunächst wurde der Online-Dienst heise Security auf eine Liste mit den persönlichen Daten von etwa 90.000 Personen aufmerksam gemacht, die frei lesbar im Internet kursiert und mit hoher Wahrscheinlichkeit aus dem Bonusprogramm "Priceless Specials" des Kreditkartenanbieters Mastercard stammen dürfte.
Einblick in den Datensatz
Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen.
Screenshot: teltarif.de
Ein betroffener teltarif.de-Leser konnte im Internet Einblick in diese mit einem üblichen Tabellenkalkulations-Programm (z.B. Microsoft Excel, LibreOffice oder andere) problemlos lesbare Datei nehmen. Der Leser fand sich selbst mit einer Kreditkarte gelistet, die er wirklich nutzt und die im Format "MCDE53xxxx 1234" dort aufgeführt ist. "MCDE" steht wohl für Mastercard Deutschland. Nach der führenden Zahl 53 (es können auch andere Zahlen sein) stehen wirklich jede Menge XXX und am Ende des Datenfeldes die letzten vier Endziffern der real existierenden Karte. Im Folgenden fand der Leser in der Datei noch seinen Vor- und Nachnamen, sein Geburtsdatum, Wohnort mit Postleitzahl - aber ohne Straße/Hausnummer - sowie eine aktuell gültige Mobilrufnummer. Eine "1" im Feld "SMS" soll wohl signalisieren, dass er eine SMS-Benachrichtigung bekommen möchte. Im Feld "Q" der Tabelle fand er kryptische Zahlenkolonnen, die auf "additional cards" hinweisen (der Leser hatte Mastercard mehrere Karten mitgeteilt), die aber keinen unmittelbar erkennbaren Bezug zu seinen realen Kartennummern haben.
Daten sind mindestens 1 Jahr alt
Da der Wohnort des betroffenen Lesers nicht (mehr) stimmt - er ist vor etwa 1 Jahr umgezogen - scheinen die Daten schon ein gewisses Alter zu haben oder wurden später nicht mehr gepflegt. Der Leser fand auf Anhieb etwa drei bis vier Personen aus seinem Bekanntenkreis in dieser Liste. Dabei stimmten auch hier und da einige Daten nicht, so gab es Zahlendreher, beispielsweise beim Geburtsdatum, manche Nutzer hatten auch Fake-Rufnummern wie (+44 (888) 8888 ) angegeben.
Viele Fragen
Dennoch bleiben viele Fragen: Gibt es zu dieser im Netz leicht auffindbaren Datei möglicherweise noch ein "Gegenstück" mit den kompletten Kunden-Daten? Sollte man jetzt seine eigene Kreditkarte(n) komplett sperren und gleich (eine) neue Nummer(n) beantragen oder reicht es, was speziell bei Fintech-Online-Banken gut möglich ist, seine Kreditkartenbewegungen in Quasi-Echtzeit im Blick zu behalten oder das Ausgabelimit oder die Liste der nutzbaren Länder einzuschränken?
Schwieriger kann das bei Kreditkarten von herkömmlichen ("Old-School"-)Banken sein, die nur einmal im Monat einen Kontoauszug per Brief verschicken oder zur Abholung in der Filiale oder zum Download im Online-Portal bereithalten.
MasterCard reagiert
Das Unternehmen Mastercard hat seine Priceless-Seite erst einmal gesperrt und untersucht aktuell den Fall.
Im Netz ist zu erfahren, dass es bei Priceless-Specials schon seit längerem "Ärger" bei Coupon- und Schnäppchen-Jägern gegeben habe, weil die durch intensive Nutzung ihrer bei Priceless Specials registrierten Kreditkarten "erworbenen" Gutscheine auf einmal ungültig waren, obwohl der Kunde sie vorher noch gar nicht eingelöst hatte. Möglicherweise hatten Hacker diese Codes bereits "abgegriffen". Mit zunehmenden Beschwerden betroffener Kunden wurde das Datenleck wohl erst offensichtlich.
Ist schon Schaden entstanden?
In einigen Foren sollen sich schon Betroffene gemeldet haben, die über nicht autorisierte Abbuchungen ihrer Kreditkarten berichten. Andere Nutzer haben bereits Spam- oder Phishing-Mails bekommen, die damit zusammenhängen könnten.
Was kann man tun?
Es könnte sinnvoll sein, beispielsweise für sensible Banking-Geschäfte eine neue E-Mail-Adresse einzurichten, die im sonstigen Alltag nicht verwendet wird. Damit kann man schnell erkennen, wenn seltsame E-Mails auftauchen, ob es mit rechten Dingen zugegangen sein könnte. Ideal ist dafür eine eigene Domain (Webseite mit E-Mail-Adressen), aber auch viele E-Mail-Anbieter bieten in ihren kostenlosen oder Bezahlmodellen mehrere E-Mail-Adressen an.
Der betroffene Leser gibt im Internet gerne eine nur dafür bestimmte, aber im Berufs- und Privatleben selten genutzte Handynummer an, wodurch er in etwa abschätzen kann, wenn sich Unbekannte bei ihm melden.
Wer sich bei Priceless Specials von MasterCard angemeldet hat, wird vielleicht noch Bestätigungs-Mails darüber haben. Man sollte auf jeden Fall mehr als vorsichtig sein, falls in den nächsten Tagen ein Anruf von MasterCard kommen sollte, die einen "Datenabgleich" versuchen, notfalls auflegen und die auf der eigenen Kreditkartenabrechnung genannte Rufnummer anrufen, die aber im Moment überlastet sein könnte. Unbedingt die monatlichen Kreditkartenabrechnungen penibel prüfen und im Fehlerfall sofort reklamieren. Kunden von Online-Banken wie o2-Fidor oder N26 sehen jede Buchung in ihrer App in quasi Echtzeit. Auch hier kann dann sofort reagiert werden.
Renommierte Unternehmen wie MasterCard kann man in Zukunft nur raten, auf die teilweise nur noch nervigen Punkte-Gutschrift-Aktionen zu verzichten, da sie nur "schräge Gestalten anzieht" und den ehrlichen Kunden mehr Ärger als Nutzen bringt.
Weitere Informationen zu dem Datenleck und die offizielle Reaktion von Mastercard finden Sie hier und hier.