Priceless-Datenleck: Erste Reaktion von MasterCard
Eine vermutlich echte E-Mail von Mastercard wirft mehr Fragen auf, als sie beantwortet.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de
Im Priceless-Datenleck (wir berichteten hier und hier) gibt es seit heute Morgen eine (vermutlich) offizielle Stellungnahme, die heute Nacht in den E-Mail-Postfächern der betroffenen Kunden eingetroffen sein sollte. Die E-Mail trägt den Absender germany@mastercard.com, wurde allerdings über den Mailserver mta.mastercard-email.com ausgeliefert, von dem uns bislang nicht bekannt ist, ob wirklich Mastercard selbst (oder ein beauftragter Dienstleister) dahinter steckt.
E-Mail um Mitternacht
Eine vermutlich echte E-Mail von Mastercard wirft mehr Fragen auf, als sie beantwortet.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de
Unter dem Betreff "Wichtige Nachricht von Priceless Specials" steht zu lesen:
Sehr geehrte/r Herr xxx, wir schreiben Ihnen, um Sie über ein aktuelles Ereignis zu informieren, das sich auf Ihre in unserem Priceless Specials Programm erfassten personenbezogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienstleister betrieben. Wir möchten Ihnen zunächst versichern, dass dieses Ereignis keine Auswirkungen auf das Mastercard Zahlungsnetzwerk hat; der Vorfall ist beschränkt auf das Priceless Specials Programm.Was ist passiert?
Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.
Welche Informationen waren betroffen?
Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) ihrer Zahlungskarte wurden nicht offengelegt.
Welche Risiken bestehen?
Böswillige Dritte könnten Ihre Mastercard Zahlungskartennummer missbrauchen. Die betroffenen Daten könnten zudem verwendet werden, um Sie zu kontaktieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versuchen, über einen Täuschungsversuch personenbezogene Daten von Ihnen zu beschaffen (bekannt als „Phishing"). Diese böswilligen Dritten könnten sich als Mastercard ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Mastercard.
Mastercard wird Sie niemals direkt anrufen oder direkt per E-Mail kontaktieren, um persönliche Daten oder Kontoinformationen anzufordern. Betrügerische Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zuständigen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeintlich von Mastercard stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiterleiten.
Das unternehmen wir dagegen
Nachdem wir von der Veröffentlichung der Daten im Internet erfahren hatten, haben wir den Vorfall umgehend untersucht. Wir überwachen fortlaufend, ob die Daten an anderer Stelle im Internet veröffentlicht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.
Wir arbeiten eng mit den zuständigen Behörden zusammen, um diesen Vorfall zu untersuchen. Um Sie vor möglichen negativen Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profitieren. Um Ihr Konto zu aktivieren, senden Sie bitte eine E-Mail an germany@mastercard.com.
Zudem haben wir Ihr Karten herausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte. Und, wie immer, wird Mastercard Sie vor betrügerischen Abbuchungen und Transaktionen schützen. Siehe weitere Informationen hierzu unter: https://www.mastercard.de/de-de/faq.html#sicherheit.
Für weitere Informationen
Mastercard ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Angelegenheit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontaktieren.
Seien Sie versichert, dass wir daran arbeiten, jegliche Unannehmlichkeiten zu minimieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.
Ihr Specials-Team
Ist die E-Mail echt?
Auf der Homepage von Mastercard findet sich seit heute Morgen ein erster Hinweis auf das aktuelle Problem. Inzwischen gibt es eine ausführlichere FAQ-Sammlung, worin Mastercard den Vorgang erklärt und einige Hinweise für betroffene Kunden gibt.
Seite heute Morgen gibt es einen Hinweis auf das Datenleck-Problem direkt auf der Homepage von Mastercard.
Screenshot: teltarif.de
Unterstellt, die E-Mail ist wirklich echt, bleiben trotz der FAQ noch Fragen. Wie soll diese "kostenlose Sicherheitsüberprüfung für 1 Jahr" genau aussehen? Und wer wird sich per E-Mail bei germany@mastercard.com melden und welche Daten soll er/sie in diese Mail hinein schreiben? Schließlich ist das normale E-Mail-Protokoll auch nicht sonderlich "sicher", wer würde also dort mitlesen? Mastercard schreibt selbst, dass offizielle E-Mails nur von @mastercard.com stammen dürfen, doch Absender lassen sich in gewissem Rahmen "faken". Ist damit also die oben zitierte Mail "unecht"? In diesem Falle wären "wasserdichte" e-mail-Signaturen oder sogar Verschlüsselungen, wie etwa PGP, hilfreich gewesen.
Wer hilft dem Kunden?
Die Karten ausgebende Bank sei informiert worden und könnte sich beim Kunden melden. "Könnte" heißt, sie müsste es auch nicht tun. Im Netz berichten einige Betroffene, dass ihre Bank ihnen bereits mitgeteilt habe, eine neue Karte zu verschicken, wobei die alte Karte erst dann deaktiviert werde, wenn die neue beim Kunden eingetroffen und aktiviert sei. Das ist ein kundenfreundliches Verfahren.
Was wird aus den Bonus-Punkten oder Gutscheinen?
Auf den Auslöser des Problems wurde noch nicht eingegangen: Werden die erworbenen Bonuspunkte ("Coins") oder Gutscheine von Priceless Specials weiterhin gültig bleiben und werden "unberechtigt eingelöste" Gutscheine ersetzt? Muss sich der Kunde hier aktiv darum kümmern oder könnte Mastercard der Einfachheit halber alle Gutscheine und Coins schlicht und einfach komplett für ungültig erklären? Hätte der Kunde hier ein Klagerecht, und wenn ja in welcher Höhe und gegen wen?
Kann sich Mastercard aus der Verantwortung herausziehen?
Der ursächlich betroffene Dienstleister mit dem sinnigen Namen "Brain Behind" dürfte vermutlich schnell "Insolvenz" anmelden, alleine schon, um umfangreichen Schadensersatzforderungen zu entgehen. Unklar ist noch, ob und welche Datenschutzbeauftragten den Fall abschließend bearbeiten und welche Bußgelder sie verhängen werden. In Deutschland ist das wohl der hessische Datenschutzbeauftragte, weil Mastercard Deutschland in Frankfurt sitzt, der das dann an seine belgischen Kollegen weiterreicht? Als Absender der oben zitierten Mail ist nämlich die Mastercard S.A., Chausée de Tervuren 198A in B-1410 Waterloo (Belgien) aufgeführt.
Wer bisher dem Thema "DSGVO" skeptisch gegenüberstand, wird langsam verstehen, um was es hier im Grunde geht. Europa muss nun beweisen, dass der ganze Aufwand auch einen Wert an sich hat und drakonisch durchgreifen. Sonst wäre die DSGVO ein zahnloser Tiger. Dem Vertrauen in das moderne Bezahlen per Kreditkarte hat Mastercard bislang keinen großen Gefallen getan.