Datenleck

Kundendaten von MasterCard im Internet aufgetaucht

Eine Datei mit knapp 90.000 Kunden­daten­sätzen ist im Netz aufge­taucht. Ein teltarif.de-Leser konnte Einblick nehmen und verriet uns die pikanten Details.
AAA
Teilen (5)

Beim Bonus-Programm des Kredit­karten-Anbie­ters MasterCard gab es vermut­lich ein Daten­leck. Zunächst wurde der Online-Dienst heise Secu­rity auf eine Liste mit den persön­lichen Daten von etwa 90.000 Personen aufmerksam gemacht, die frei lesbar im Internet kursiert und mit hoher Wahr­schein­lich­keit aus dem Bonus­programm "Price­less Specials" des Kredit­karten­anbie­ters Master­card stammen dürfte.

Einblick in den Daten­satz

Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen.Der Kreditkartenanbieter Mastercard hat seine Priceless Special Homepage derzeit vom Netz genommen. Ein betrof­fener teltarif.de-Leser konnte im Internet Einblick in diese mit einem übli­chen Tabel­lenkal­kula­tions-Programm (z.B. Micro­soft Excel, LibreOffice oder andere) problemlos lesbare Datei nehmen. Der Leser fand sich selbst mit einer Kredit­karte gelistet, die er wirk­lich nutzt und die im Format "MCDE53xxxx 1234" dort aufge­führt ist. "MCDE" steht wohl für Master­card Deutsch­land. Nach der führenden Zahl 53 (es können auch andere Zahlen sein) stehen wirk­lich jede Menge XXX und am Ende des Daten­feldes die letzten vier Endzif­fern der real exis­tierenden Karte. Im Folgenden fand der Leser in der Datei noch seinen Vor- und Nach­namen, sein Geburts­datum, Wohnort mit Post­leit­zahl - aber ohne Straße/Haus­nummer - sowie eine aktuell gültige Mobil­rufnummer. Eine "1" im Feld "SMS" soll wohl signa­lisieren, dass er eine SMS-Benach­rich­tigung bekommen möchte. Im Feld "Q" der Tabelle fand er kryp­tische Zahlen­kolonnen, die auf "addi­tional cards" hinweisen (der Leser hatte Master­card mehrere Karten mitge­teilt), die aber keinen unmit­telbar erkenn­baren Bezug zu seinen realen Karten­nummern haben.

Daten sind mindes­tens 1 Jahr alt

Da der Wohnort des betrof­fenen Lesers nicht (mehr) stimmt - er ist vor etwa 1 Jahr umge­zogen - scheinen die Daten schon ein gewisses Alter zu haben oder wurden später nicht mehr gepflegt. Der Leser fand auf Anhieb etwa drei bis vier Personen aus seinem Bekann­tenkreis in dieser Liste. Dabei stimmten auch hier und da einige Daten nicht, so gab es Zahlen­dreher, beispiels­weise beim Geburts­datum, manche Nutzer hatten auch Fake-Rufnum­mern wie (+44 (888) 8888 ) ange­geben.

Viele Fragen

Dennoch bleiben viele Fragen: Gibt es zu dieser im Netz leicht auffind­baren Datei mögli­cher­weise noch ein "Gegen­stück" mit den kompletten Kunden-Daten? Sollte man jetzt seine eigene Kredit­karte(n) komplett sperren und gleich (eine) neue Nummer(n) bean­tragen oder reicht es, was speziell bei Fintech-Online-Banken gut möglich ist, seine Kredit­karten­bewe­gungen in Quasi-Echt­zeit im Blick zu behalten oder das Ausga­belimit oder die Liste der nutz­baren Länder einzu­schränken?

Schwie­riger kann das bei Kredit­karten von herkömm­lichen ("Old-School"-)Banken sein, die nur einmal im Monat einen Konto­auszug per Brief verschi­cken oder zur Abho­lung in der Filiale oder zum Down­load im Online-Portal bereit­halten.

MasterCard reagiert

Das Unter­nehmen Master­card hat seine Price­less-Seite erst einmal gesperrt und unter­sucht aktuell den Fall.

Im Netz ist zu erfahren, dass es bei Price­less-Specials schon seit längerem "Ärger" bei Coupon- und Schnäpp­chen-Jägern gegeben habe, weil die durch inten­sive Nutzung ihrer bei Price­less Specials regis­trierten Kredit­karten "erwor­benen" Gutscheine auf einmal ungültig waren, obwohl der Kunde sie vorher noch gar nicht einge­löst hatte. Mögli­cher­weise hatten Hacker diese Codes bereits "abge­griffen". Mit zuneh­menden Beschwerden betrof­fener Kunden wurde das Daten­leck wohl erst offen­sicht­lich.

Ist schon Schaden entstanden?

In einigen Foren sollen sich schon Betrof­fene gemeldet haben, die über nicht auto­risierte Abbu­chungen ihrer Kredit­karten berichten. Andere Nutzer haben bereits Spam- oder Phis­hing-Mails bekommen, die damit zusam­menhängen könnten.

Was kann man tun?

Es könnte sinn­voll sein, beispiels­weise für sensible Banking-Geschäfte eine neue E-Mail-Adresse einzu­richten, die im sons­tigen Alltag nicht verwendet wird. Damit kann man schnell erkennen, wenn selt­same E-Mails auftau­chen, ob es mit rechten Dingen zuge­gangen sein könnte. Ideal ist dafür eine eigene Domain (Webseite mit E-Mail-Adressen), aber auch viele E-Mail-Anbieter bieten in ihren kosten­losen oder Bezahl­modellen mehrere E-Mail-Adressen an.

Der betrof­fene Leser gibt im Internet gerne eine nur dafür bestimmte, aber im Berufs- und Privat­leben selten genutzte Handy­nummer an, wodurch er in etwa abschätzen kann, wenn sich Unbe­kannte bei ihm melden.

Wer sich bei Price­less Specials von MasterCard ange­meldet hat, wird viel­leicht noch Bestä­tigungs-Mails darüber haben. Man sollte auf jeden Fall mehr als vorsichtig sein, falls in den nächsten Tagen ein Anruf von MasterCard kommen sollte, die einen "Daten­abgleich" versu­chen, notfalls auflegen und die auf der eigenen Kredit­karten­abrech­nung genannte Rufnummer anrufen, die aber im Moment über­lastet sein könnte. Unbe­dingt die monat­lichen Kredit­karten­abrech­nungen penibel prüfen und im Fehler­fall sofort rekla­mieren. Kunden von Online-Banken wie o2-Fidor oder N26 sehen jede Buchung in ihrer App in quasi Echt­zeit. Auch hier kann dann sofort reagiert werden.

Renom­mierte Unter­nehmen wie MasterCard kann man in Zukunft nur raten, auf die teil­weise nur noch nervigen Punkte-Gutschrift-Aktionen zu verzichten, da sie nur "schräge Gestalten anzieht" und den ehrli­chen Kunden mehr Ärger als Nutzen bringt.

Weitere Infor­mationen zu dem Daten­leck und die offi­zielle Reak­tion von Master­card finden Sie hier und hier.

Teilen (5)

Mehr zum Thema Sicherheit