Datenleck

Kundendaten von MasterCard im Internet aufgetaucht

Eine Datei mit knapp 90.000 Kunden­daten­sätzen ist im Netz aufge­taucht. Ein teltarif.de-Leser konnte Einblick nehmen und verriet uns die pikanten Details.

Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen. Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen.
Screenshot: teltarif.de
Beim Bonus-Programm des Kredit­karten-Anbie­ters MasterCard gab es vermut­lich ein Daten­leck. Zunächst wurde der Online-Dienst heise Secu­rity auf eine Liste mit den persön­lichen Daten von etwa 90.000 Personen aufmerksam gemacht, die frei lesbar im Internet kursiert und mit hoher Wahr­schein­lich­keit aus dem Bonus­programm "Price­less Specials" des Kredit­karten­anbie­ters Master­card stammen dürfte.

Einblick in den Daten­satz

Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen. Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen.
Screenshot: teltarif.de
Ein betrof­fener teltarif.de-Leser konnte im Internet Einblick in diese mit einem übli­chen Tabel­lenkal­kula­tions-Programm (z.B. Micro­soft Excel, LibreOffice oder andere) problemlos lesbare Datei nehmen. Der Leser fand sich selbst mit einer Kredit­karte gelistet, die er wirk­lich nutzt und die im Format "MCDE53xxxx 1234" dort aufge­führt ist. "MCDE" steht wohl für Master­card Deutsch­land. Nach der führenden Zahl 53 (es können auch andere Zahlen sein) stehen wirk­lich jede Menge XXX und am Ende des Daten­feldes die letzten vier Endzif­fern der real exis­tierenden Karte. Im Folgenden fand der Leser in der Datei noch seinen Vor- und Nach­namen, sein Geburts­datum, Wohnort mit Post­leit­zahl - aber ohne Straße/Haus­nummer - sowie eine aktuell gültige Mobil­rufnummer. Eine "1" im Feld "SMS" soll wohl signa­lisieren, dass er eine SMS-Benach­rich­tigung bekommen möchte. Im Feld "Q" der Tabelle fand er kryp­tische Zahlen­kolonnen, die auf "addi­tional cards" hinweisen (der Leser hatte Master­card mehrere Karten mitge­teilt), die aber keinen unmit­telbar erkenn­baren Bezug zu seinen realen Karten­nummern haben.

Daten sind mindes­tens 1 Jahr alt

Da der Wohnort des betrof­fenen Lesers nicht (mehr) stimmt - er ist vor etwa 1 Jahr umge­zogen - scheinen die Daten schon ein gewisses Alter zu haben oder wurden später nicht mehr gepflegt. Der Leser fand auf Anhieb etwa drei bis vier Personen aus seinem Bekann­tenkreis in dieser Liste. Dabei stimmten auch hier und da einige Daten nicht, so gab es Zahlen­dreher, beispiels­weise beim Geburts­datum, manche Nutzer hatten auch Fake-Rufnum­mern wie (+44 (888) 8888 ) ange­geben.

Viele Fragen

Dennoch bleiben viele Fragen: Gibt es zu dieser im Netz leicht auffind­baren Datei mögli­cher­weise noch ein "Gegen­stück" mit den kompletten Kunden-Daten? Sollte man jetzt seine eigene Kredit­karte(n) komplett sperren und gleich (eine) neue Nummer(n) bean­tragen oder reicht es, was speziell bei Fintech-Online-Banken gut möglich ist, seine Kredit­karten­bewe­gungen in Quasi-Echt­zeit im Blick zu behalten oder das Ausga­belimit oder die Liste der nutz­baren Länder einzu­schränken?

Schwie­riger kann das bei Kredit­karten von herkömm­lichen ("Old-School"-)Banken sein, die nur einmal im Monat einen Konto­auszug per Brief verschi­cken oder zur Abho­lung in der Filiale oder zum Down­load im Online-Portal bereit­halten.

MasterCard reagiert

Das Unter­nehmen Master­card hat seine Price­less-Seite erst einmal gesperrt und unter­sucht aktuell den Fall.

Im Netz ist zu erfahren, dass es bei Price­less-Specials schon seit längerem "Ärger" bei Coupon- und Schnäpp­chen-Jägern gegeben habe, weil die durch inten­sive Nutzung ihrer bei Price­less Specials regis­trierten Kredit­karten "erwor­benen" Gutscheine auf einmal ungültig waren, obwohl der Kunde sie vorher noch gar nicht einge­löst hatte. Mögli­cher­weise hatten Hacker diese Codes bereits "abge­griffen". Mit zuneh­menden Beschwerden betrof­fener Kunden wurde das Daten­leck wohl erst offen­sicht­lich.

Ist schon Schaden entstanden?

In einigen Foren sollen sich schon Betrof­fene gemeldet haben, die über nicht auto­risierte Abbu­chungen ihrer Kredit­karten berichten. Andere Nutzer haben bereits Spam- oder Phis­hing-Mails bekommen, die damit zusam­menhängen könnten.

Was kann man tun?

Es könnte sinn­voll sein, beispiels­weise für sensible Banking-Geschäfte eine neue E-Mail-Adresse einzu­richten, die im sons­tigen Alltag nicht verwendet wird. Damit kann man schnell erkennen, wenn selt­same E-Mails auftau­chen, ob es mit rechten Dingen zuge­gangen sein könnte. Ideal ist dafür eine eigene Domain (Webseite mit E-Mail-Adressen), aber auch viele E-Mail-Anbieter bieten in ihren kosten­losen oder Bezahl­modellen mehrere E-Mail-Adressen an.

Der betrof­fene Leser gibt im Internet gerne eine nur dafür bestimmte, aber im Berufs- und Privat­leben selten genutzte Handy­nummer an, wodurch er in etwa abschätzen kann, wenn sich Unbe­kannte bei ihm melden.

Wer sich bei Price­less Specials von MasterCard ange­meldet hat, wird viel­leicht noch Bestä­tigungs-Mails darüber haben. Man sollte auf jeden Fall mehr als vorsichtig sein, falls in den nächsten Tagen ein Anruf von MasterCard kommen sollte, die einen "Daten­abgleich" versu­chen, notfalls auflegen und die auf der eigenen Kredit­karten­abrech­nung genannte Rufnummer anrufen, die aber im Moment über­lastet sein könnte. Unbe­dingt die monat­lichen Kredit­karten­abrech­nungen penibel prüfen und im Fehler­fall sofort rekla­mieren. Kunden von Online-Banken wie o2-Fidor oder N26 sehen jede Buchung in ihrer App in quasi Echt­zeit. Auch hier kann dann sofort reagiert werden.

Renom­mierte Unter­nehmen wie MasterCard kann man in Zukunft nur raten, auf die teil­weise nur noch nervigen Punkte-Gutschrift-Aktionen zu verzichten, da sie nur "schräge Gestalten anzieht" und den ehrli­chen Kunden mehr Ärger als Nutzen bringt.

Weitere Infor­mationen zu dem Daten­leck und die offi­zielle Reak­tion von Master­card finden Sie hier und hier.

Mehr zum Thema Sicherheit