Priceless-Datenleck: Erste Reaktion von MasterCard

Eine vermutlich echte E-Mail von Mastercard wirft mehr Fragen auf, als sie beantwortet.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de Im Price­less-Daten­leck (wir berich­teten hier und hier) gibt es seit heute Morgen eine (vermut­lich) offi­zielle Stel­lung­nahme, die heute Nacht in den E-Mail-Post­fächern der betrof­fenen Kunden einge­troffen sein sollte. Die E-Mail trägt den Absender germany@mastercard.com, wurde aller­dings über den Mail­server mta.mastercard-email.com ausge­liefert, von dem uns bislang nicht bekannt ist, ob wirk­lich Master­card selbst (oder ein beauf­tragter Dienst­leister) dahinter steckt.

E-Mail um Mitter­nacht

Eine vermutlich echte E-Mail von Mastercard wirft mehr Fragen auf, als sie beantwortet.
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de Unter dem Betreff "Wich­tige Nach­richt von Price­less Specials" steht zu lesen:

Sehr geehrte/r Herr xxx, wir schreiben Ihnen, um Sie über ein aktu­elles Ereignis zu infor­mieren, das sich auf Ihre in unserem Price­less Specials Programm erfassten perso­nenbe­zogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienst­leister betrieben. Wir möchten Ihnen zunächst versi­chern, dass dieses Ereignis keine Auswir­kungen auf das Master­card Zahlungs­netz­werk hat; der Vorfall ist beschränkt auf das Price­less Specials Programm.

Was ist passiert?

Unlängst haben wir erfahren, dass unser Dienst­leister, der das Price­less Specials Programm betreibt, einen Sicher­heits­vorfall erlitten hat, der zur unbe­fugten Veröf­fent­lichung der perso­nenbe­zogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen iden­tifi­ziert, deren perso­nenbe­zogene Daten betroffen sein könnten.

Welche Infor­mationen waren betroffen?

Basie­rend auf den zu diesem Zeit­punkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburts­datum, Geschlecht, Post­anschrift, E-Mail-Adresse, Tele­fonnummer und mögli­cher­weise Ihre Zahlungs­karten­nummer, die Sie genutzt haben, um sich im Programm zu regis­trieren. Weder Ihre Anmel­dedaten noch Ihre Pass­wörter wurden offen­gelegt. Das Ablauf­datum und die Prüf­nummer (CVC) ihrer Zahlungs­karte wurden nicht offen­gelegt.

Welche Risiken bestehen?

Böswil­lige Dritte könnten Ihre Master­card Zahlungs­karten­nummer miss­brau­chen. Die betrof­fenen Daten könnten zudem verwendet werden, um Sie zu kontak­tieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versu­chen, über einen Täuschungs­versuch perso­nenbe­zogene Daten von Ihnen zu beschaffen (bekannt als „Phis­hing"). Diese böswil­ligen Dritten könnten sich als Master­card ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Master­card.

Master­card wird Sie niemals direkt anrufen oder direkt per E-Mail kontak­tieren, um persön­liche Daten oder Konto­infor­mationen anzu­fordern. Betrü­geri­sche Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zustän­digen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeint­lich von Master­card stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiter­leiten.

Das unter­nehmen wir dagegen

Nachdem wir von der Veröf­fent­lichung der Daten im Internet erfahren hatten, haben wir den Vorfall umge­hend unter­sucht. Wir über­wachen fort­laufend, ob die Daten an anderer Stelle im Internet veröf­fent­licht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.

Wir arbeiten eng mit den zustän­digen Behörden zusammen, um diesen Vorfall zu unter­suchen. Um Sie vor mögli­chen nega­tiven Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Boni­täts­über­wachung und zum Schutz vor Iden­titäts­dieb­stahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profi­tieren. Um Ihr Konto zu akti­vieren, senden Sie bitte eine E-Mail an germany@mastercard.com.

Zudem haben wir Ihr Karten heraus­gebendes Institut über den Vorfall infor­miert, das Sie hinsicht­lich Ihrer Zahlungs­karte kontak­tieren könnte. Und, wie immer, wird Master­card Sie vor betrü­geri­schen Abbu­chungen und Trans­aktionen schützen. Siehe weitere Infor­mationen hierzu unter: https://www.mastercard.de/de-de/faq.html#sicher­heit.

Für weitere Infor­mationen

Master­card ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Ange­legen­heit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontak­tieren.

Seien Sie versi­chert, dass wir daran arbeiten, jegliche Unan­nehm­lich­keiten zu mini­mieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.

Ihr Specials-Team

Ist die E-Mail echt?

Auf der Home­page von Master­card findet sich seit heute Morgen ein erster Hinweis auf das aktu­elle Problem. Inzwi­schen gibt es eine ausführ­lichere FAQ-Samm­lung, worin Master­card den Vorgang erklärt und einige Hinweise für betrof­fene Kunden gibt. Seite heute Morgen gibt es einen Hinweis auf das Datenleck-Problem direkt auf der Homepage von Mastercard.
Screenshot: teltarif.de Unter­stellt, die E-Mail ist wirk­lich echt, bleiben trotz der FAQ noch Fragen. Wie soll diese "kosten­lose Sicher­heits­über­prüfung für 1 Jahr" genau aussehen? Und wer wird sich per E-Mail bei germany@mastercard.com melden und welche Daten soll er/sie in diese Mail hinein schreiben? Schließ­lich ist das normale E-Mail-Proto­koll auch nicht sonder­lich "sicher", wer würde also dort mitlesen? Master­card schreibt selbst, dass offi­zielle E-Mails nur von @mastercard.com stammen dürfen, doch Absender lassen sich in gewissem Rahmen "faken". Ist damit also die oben zitierte Mail "unecht"? In diesem Falle wären "wasser­dichte" e-mail-Signa­turen oder sogar Verschlüs­selungen, wie etwa PGP, hilf­reich gewesen.

Wer hilft dem Kunden?

Die Karten ausge­bende Bank sei infor­miert worden und könnte sich beim Kunden melden. "Könnte" heißt, sie müsste es auch nicht tun. Im Netz berichten einige Betrof­fene, dass ihre Bank ihnen bereits mitge­teilt habe, eine neue Karte zu verschi­cken, wobei die alte Karte erst dann deak­tiviert werde, wenn die neue beim Kunden einge­troffen und akti­viert sei. Das ist ein kunden­freund­liches Verfahren.

Was wird aus den Bonus-Punkten oder Gutscheinen?

Auf den Auslöser des Problems wurde noch nicht einge­gangen: Werden die erwor­benen Bonus­punkte ("Coins") oder Gutscheine von Price­less Specials weiterhin gültig bleiben und werden "unbe­rech­tigt einge­löste" Gutscheine ersetzt? Muss sich der Kunde hier aktiv darum kümmern oder könnte Master­card der Einfach­heit halber alle Gutscheine und Coins schlicht und einfach komplett für ungültig erklären? Hätte der Kunde hier ein Klage­recht, und wenn ja in welcher Höhe und gegen wen?

Kann sich Master­card aus der Verant­wortung heraus­ziehen?

Der ursäch­lich betrof­fene Dienst­leister mit dem sinnigen Namen "Brain Behind" dürfte vermut­lich schnell "Insol­venz" anmelden, alleine schon, um umfang­reichen Scha­dens­ersatz­forde­rungen zu entgehen. Unklar ist noch, ob und welche Daten­schutz­beauf­tragten den Fall abschlie­ßend bear­beiten und welche Bußgelder sie verhängen werden. In Deutsch­land ist das wohl der hessi­sche Daten­schutz­beauf­tragte, weil Master­card Deutsch­land in Frank­furt sitzt, der das dann an seine belgi­schen Kollegen weiter­reicht? Als Absender der oben zitierten Mail ist nämlich die Master­card S.A., Chausée de Tervuren 198A in B-1410 Waterloo (Belgien) aufge­führt.

Wer bisher dem Thema "DSGVO" skep­tisch gegen­über­stand, wird langsam verstehen, um was es hier im Grunde geht. Europa muss nun beweisen, dass der ganze Aufwand auch einen Wert an sich hat und drako­nisch durch­greifen. Sonst wäre die DSGVO ein zahn­loser Tiger. Dem Vertrauen in das moderne Bezahlen per Kredit­karte hat Master­card bislang keinen großen Gefallen getan.