*INFO* Mastercard Priceless Leak: 90.000 Kundendaten betroffen inkl. unverschlüsselte Kreditkartennummern

Es ist zwar bereits durch die Medien gegangen aber hier noch ein kleiner Hinweis zum Mastercard Priceless Leak.

Heute wurde eine Liste mit 89.430 Kundendaten veröffentlicht, die einen ziemlich umfangreichen Eindruck macht.

Welche Daten sind von dem Leak betroffen?

  • KartenID
  • Titel
  • Anrede
  • Vorname
  • Name
  • Anschrift
  • PLZ
  • Ort
  • E-Mail
  • Geburt
  • Telefon
  • Mobil
  • aktiv
  • Kunde seit
  • Newsletter SMS
  • Additional customer cards

 

KartenID und Additional customer cards, sind hierbei die spannendsten, denn bei der KartenID sind 12 der 16 Kreditkartenziffern mit einem X versehen, also nicht komplett einsehbar. Auch die Additional customer cards scheinen auf den ersten Blick keinen Bezug zu einer korrekten Kartennummer zu haben, sondern scheinen irgendwie „verschlüsselt“ zu sein.

Allerdings weiß man natürlich nicht, ob die Liste vor der Veröffentlichung bereits schon „entschärft“ und ein wenig zensiert wurde und die Originaldaten dennoch im Umlauf sind.

Was allerdings sehr ärgerlich ist, ist die Offenlegung des kompletten persönlichen Datensatzes mit vollem Namen, Anschrift, Mailadresse, Geburtsdatum und teilweise sogar mit Handynummer (aber nur bei etwa 4% der Datensätze). Man darf sich also in Zukunft vermutlich auf einige Phishingversuche einstellen.

Bin ich etwa auch betroffen?

Die Datenbank ist inzwischen in den bekannten Dienst „Identity Leak Checker“ des Hasso-Plattner-Instituts eingepflegt. Dort kann man seine Mailadresse eintippen und auf Datenleaks prüfen lassen. Auch bei wie haveibeenpwned.com dürfte die Datenbank bald eingepflegt werden

Wichtig zu wissen ist allerdings auch, dass dieses Leak keinerlei Auswirkungen auf das Zahlungsnetzwerk von Mastercard hat und dass zumindest ein Kreditkartenmissbrauch aktuell nicht einfach möglich zu sein scheint, da die Kreditkartennummern wie gesagt nicht komplett einsehbar sind.

Was wurde bisher dagegen unternommen?

Mastercard hat zumindest reagiert und die Seite vorübergehend offline genommen. Der Customer Service scheint aktuell überlastet zu sein, die Hotlines glühen.

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen.

Was ist jetzt zu tun?

Wie bereits oben erwähnt, sind zwar die persönlichen Daten komplett einsehbar, nicht aber die Kreditkartendaten. Am Ende ist es aber natürlich unklar, ob es eine unzensierte Version dieser Liste gibt und auch die Kreditkartendaten einem bestimmten Personenkreis zugänglich sind. Man wird ein offizielles Statement von Mastercard abwarten müssen.

Wer auf Nummer sicher gehen will, kann seine Kreditkarten natürlich auch proaktiv austauschen lassen. Man sollte darauf achten, ob nicht nachvollziehbare Buchungen auf der Kreditkarte festzustellen sind. Außerdem natürlich immer Aufpassen bei verdächtigen E-Mails oder Anrufen, auch wenn man sich als Mitarbeiter der Mastercard ausgibt.

Kommentare

Profilbild Klaus

28.08.2019, 04:24 Antworten #

@katwoman: Schreiben landete im Postfach. Ich muss mir das aber auch noch überlegen….

    Profilbild katwoman

    28.08.2019, 14:31 Antworten #

    @Klaus:
    mir ist die Klagevollmacht zu viel des Guten. Eine einfache Abmachung über eine Pauschalvergütung im Erfolgsfall wäre ok gewesen.

Profilbild Ic3M8n

28.08.2019, 13:48 Antworten #

noch kein schreiben erhalten.

Profilbild katwoman

28.08.2019, 14:57 Antworten #

vielen Dank, dass Sie sich die Zeit genommen haben uns zu schreiben.

Es liegt nicht in unserem Interesse, Sie zu verärgern.

Wir haben soeben eine Vorerstattung für Ihrer neue MasterCard veranlasst.

Gerne können Sie ab sofort über die App Ihre neue Mastercard bestellen und sich ein neuen Bezahl-Pin vergeben. Wir können aber sehr gerne für Sie die neue Mastercard bestellen Sie würden aber ein zugestellen Bezahl-Pin erhalten. Wenn wir diese für Sie bestellen sollen, bitte geben Sie kurz eine Rückmeldung

Selbstverständlich möchten wir Sie als Kundin nicht verlieren und hoffen, dass Sie uns erhalten bleiben.

Wir bitten des Weiteren für die Unannehmlichkeiten vielmals um Entschuldigung.

Sie haben Fragen? Bitte wenden Sie sich wieder an uns oder nutzen unsere FAQs zur O2 Banking App auf unserer Webseite unter www.o2banking.de – vielen Dank.

Freundliche Grüße

    Profilbild Klaus

    28.08.2019, 15:39 Antworten #

    @katwoman:
    Bei mir waren die wohl froh, dass ich weg bin 😉

    🙂

      Profilbild katwoman

      28.08.2019, 17:23 #

      @Klaus:
      die haben mir tatsächlich 9,99€ gut geschrieben

      Ich kann Dich ja wieder als Neukunde werben 😉

Profilbild Nimueh

28.08.2019, 17:17 Antworten #

@katwoman:
Seh ich genauso (ich kann auf deinen Beitrag irgendwie nicht antworten). Ich werde das jetzt einfach alles ignorieren … meine neue Mastercard kam gestern schon, somit kann eigentlich nimmer viel passieren *vorsichtig auf Holz klopf* 😎

    Profilbild katwoman

    28.08.2019, 17:24 Antworten #

    @Nimueh:
    ich werde da jetzt auch die neue beantragen, nachdem O2 schon vorab die 9,99 drauf gebucht hat.

      Profilbild Nimueh

      28.08.2019, 19:52 #

      @katwoman:
      Netto/Barclaycard wollten gar nicht erst eine Gebühr für die Ersatzkarte … sonst hätte ich denen aber auch was gehustet 😆
      Ob ich die neue wieder bei Priceless Specials hinterlege weiß ich noch nicht … mal sehen ob/was die sagen wenn die Seite wieder online ist 🤔

      Profilbild Matthi

      28.08.2019, 23:32 #

      Wow, sogar vorab 🙂

Profilbild Klaus

28.08.2019, 18:40 Antworten #

@katwoman: Vollmacht unterzeichne ich auch nicht.

Profilbild Klaus

28.08.2019, 18:41 Antworten #

@katwoman: Wie ist die Neukundenregelung? 🤔😉🙂🤣

Profilbild Ic3M8n

28.08.2019, 20:10 Antworten #

Neues von EuGD
Es wird immer wieder betont das keine Kosten für uns entstehen.
Die Klagevollmacht ist eine normale Vorgehensweise und war mir schon klar dass das kommen wird.
Schließlich muss der Anwalt ja unsere Interessen vertreten und das kann er nur mit unserem Einverständnis.

https://eugd.org/mastercard-priceless-update/

    Profilbild Klaus

    28.08.2019, 20:25 Antworten #

    @Ic3M8n:
    Hast du diese Vollmacht erteilt?

      Profilbild Ic3M8n

      28.08.2019, 20:33 #

      @Klaus:
      Ich habe noch keine Mail erhalten.
      Ich werde sie aber erteilen, ich sehe da auch kein Problem.
      weil, ohne Vollmacht keine Vertretungsbefugnis. Das würde auch bedeuten keine Auskunft von Mastercard oder Priceless bezüglich der Preisgegeben Daten, die relevant sind um den Datenschutzmissbrauch zu beweisen. Und einen möglichen Schadenersatz zu ermitteln oder zu beziefern..

      Profilbild Klaus

      30.08.2019, 06:50 #

      @Ic3M8n:
      Post nun in deinem Postfach gehabt? Bei mir landete diese Mail im Spamordner 😉

Profilbild Ic3M8n

28.08.2019, 20:45 Antworten #

wenn man sich nur mal überlegt das man bei einer Einschulung keine Fotos mehr machen darf, laut Datenschutz, dann ist das was uns passiert ist ein echter Supergau, und da bin ich mir sicher, dass das auch bestraft wird.
Ich muss ja soagr beim Doktor eine Einverständniserklärung unterschreiben, damit die mich mit Namen rufen dürfen 🙂 Das sagt alles.

    Profilbild Klaus

    28.08.2019, 20:53 Antworten #

    @Ic3M8n:
    Verrückte Welt eben und es wird noch extremer… aber so lange muss ich das ja nimmer ertragen 😉

    Mmmmh ist natürlich auch einleuchtend…. Ich schaue es mir die Tage mal nochmals genauer an (wenngleich ich von dieser Materie keine Ahnung habe). Wird dann also ggf. eine Bauchgefühl-Entscheidung 😉

      Profilbild Ic3M8n

      28.08.2019, 20:56 #

      @Klaus:
      Diese Vollmacht ist im Prinzip nichts anderes als wenn Du jemand anderen zur Post schickst um ein Paket abzuholen. Dafür braucht er dann auch eine Vollmacht.

      Profilbild Ic3M8n

      28.08.2019, 21:00 #

      @Klaus:
      Ist aber wirklich verrückt das ganze und ich könnte mir vorstellen das es über kurz oder lang eine DSGVO 2.0 geben wird.
      Das ganze sieht mir aus wie ein schlechter Witz und als ob die Entwickler nicht gewusst haben was Sie taten. 🙂

    Profilbild Klaus

    28.08.2019, 21:02 Antworten #

    @Ic3M8n:
    Ich schau es mir nochmals genauer an. Klingt zumindest einleuchtend.

Profilbild Nimueh

29.08.2019, 15:59 Antworten #

Ic3M8n:
"Diese Vollmacht ist im Prinzip nichts anderes als wenn Du jemand anderen zur Post schickst um ein Paket abzuholen."
Dem gebe ich aber dann nicht auch noch eine Kopie meines Personalausweises mit. Damit alleine kann man schon ganz schön Unfug stiften und ich bin nicht gewillt denen diese Kopie plus Vollmacht auf Verdacht zu schicken … zumal da mit Sicherheit eh nix bei 'rum kommt.

    Profilbild Klaus

    30.08.2019, 06:49 Antworten #

    @Nimueh:
    Vollmacht kann man auch erteilen ohne dass man die Kopien hochlädt.

    Ich habe mich nun persönlich finished gegen diese Vollmacht entschieden. Persodaten hochladen hätte ich eh nicht gemacht. Die Erfolgschancen sehe ich persönlich als zu gering ein, dass hier Kohle fliessen wird…

      Profilbild Nimueh

      30.08.2019, 07:27 #

      @Klaus:
      Genau das – die Chancen seh ich bei Null, deswegen lass ich das Ganze einfach bleiben 👍🏼 😊

Profilbild katwoman

02.09.2019, 11:27 Antworten #

Ich habe meine neue Mastercard erhalten und wäre jetzt in der Stimmung für einen 10€ Tchibo Gutschein 🙂 (Ironie off)

Profilbild Matthi

03.09.2019, 17:57 Antworten #

Habe O2 auch angeschrieben, warte aber noch immer auf eine Antwort. 😬

    Profilbild katwoman

    03.09.2019, 18:56 Antworten #

    @Matthi:
    Ich hatte denen geschrieben, dass andere Banken kulanter waren. Das hat wohl gewirkt.

    Profilbild Klaus

    03.09.2019, 19:38 Antworten #

    @Matthi:
    Bei mir waren die schnell mit dem Antworten 🙂 Konto wurde sogar schneller geschlossen als gewollt. Mehr als zwei Sätze lesen die wohl nicht. Egal.

      Profilbild Matthi

      04.09.2019, 21:19 #

      @Klaus:
      Heute Abend die Gutschrift erhalten 🙂

    Profilbild Matthi

    03.09.2019, 21:27 Antworten #

    @katwoman:
    @Klaus:
    Bin mal gespannt wie schnell die bei mir sind.

      Profilbild Klaus

      04.09.2019, 05:29 #

      @Matthi:
      Innerhalb 48 Stunden sollte jede Bank einem Kunden antworten (persönliche Meinung).

Profilbild Martin

04.09.2019, 21:23 Antworten #

@Matthi:
Perfekt 🙂

Profilbild Klaus

14.09.2019, 15:42 Antworten #

Heute Infomail erhalten… Hoffe mein Identitätsverlust spült mir netto eine Mio. Euro in meine klammen Kassen.😂🤣

    Profilbild Ic3M8n

    14.09.2019, 18:58 Antworten #

    @Klaus:
    Ich hab für beide Accounts nie eine Mail bekommen mit der Vollmacht ect..

Profilbild Ic3M8n

14.09.2019, 18:57 Antworten #

https://eugd.org/
Hier gibt es regelmäßig Updates zum Mastercard Priceless Fall (Datenleck).

Profilbild Ic3M8n

14.09.2019, 19:03 Antworten #

EuGD u.a. ./. Mastercard

Sehr geehrte Damen und Herren,
wir zeigen an, dass wir die rechtlichen Interessen der EuGD Europäischen Gesellschaft für Datenschutz mbH, München, („EuGD“) sowie der in der beigefügten Anlage genannten Verbraucher vertreten.

I. Unsere Mandanten
Unsere in der beigefügten Anlage genannten Verbraucher sind Nutzer Ihres KreditkartenSystems „Mastercard“ und Teilnehmer des Programms „Priceless Specials“. Die Namen, Adressen und E-Mail Adressen finden Sie in der Anlage. Sämtliche von unseren Mandanten angegebenen E-Mail Adressen wurden von unserer Auftraggeberin EuGD im Wege des Doppelten Opt-In Verfahrens verifiziert.

II. Sicherheitslücke im „Priceless Specials“-System
Unsere Mandanten haben in den letzten Wochen von Ihnen und aus der einschlägigen Presse erfahren, dass es in Ihrem Kundenbindungsprogramm „Priceless Specials“ ein Sicherheitsleck gegeben hat, durch das verschiedene personenbezogene Daten unserer Mandanten von Dritten entwendet worden sein könnten. In einer E-Mail, mit der Sie über diesen Vorfall informiert hatten, heißt es wörtlich

III. Sachaufklärungsinteresse unserer Mandanten
Aus nachvollziehbaren Gründen möchten unsere Mandanten vor allem Klarheit darüber haben,
(a) ob ihre personenbezogenen Daten tatsächlich von Dritten entwendet wurden und gegebenenfalls
(b) welche ihrer personenbezogenen Daten hiervon betroffen sind und
(c) wer der oder die datenschutzrechtlich Verantwortlichen sind, die für diesen Datenverlust verantwortlich sind.

IV. Zur datenschutzrechtlichen Verantwortlichkeit
Nach der Datenschutzerklärung des „Priceless Specials“ Programms gehen wir davon aus, dass zumindest Sie „Verantwortlicher“ iSd Art. 4 Nr.7 DSGVO sind. Die Datenschutzerklärung des „Priceless Specials“-Programms legt jedoch nahe, dass es auch noch weitere Verantwortliche geben könnte. Schließlich heißt es dort wörtlich:
Sollten Sie der Rechtsansicht sein, nicht der für die Datenverarbeitung Verantwortliche iSd Art. 4 Nr.7 DSGVO zu sein, würden wir Sie bitten uns mitzuteilen, wer wenn nicht Sie für die Datenverarbeitung verantwortlich ist.

V. Auskunftsanspruch gemäß Artikel 15 DSGVO
Namens und im Auftrag unserer Mandanten machen wir daher vom Auskunftsanspruch in Artikel 15 DSGVO Gebrauch und fordern Sie auf Auskunft darüber zu erteilen, (a) welche personenbezogenen Daten Sie über unsere Mandanten im Rahmen des Bonusprogramms „Priceless Specials“ verarbeiten und (b) welche dieser Informationen vom Sicherheitsvorfall betroffen waren, (c) insbesondere ob das Ablaufdatum oder die Prüfziffer der Kreditkarten betroffen sind, (d) ob die Daten entsprechend dem PCI DSS Standard gespeichert wurden und (e) ob und wenn ja welche Daten verschlüsselt gespeichert wurden.

Eine vollständige Auskunftserteilung über alle in Artikel 15 DSGVO genannten Punkte ist somit nicht erforderlich. Die Auskunftserteilung kann gerne auf die oben genannten Fragen beschränkt werden. Zur Auskunftserteilung stellen wir Ihnen gerne eine Excel-Tabelle mit den Daten unserer Mandanten zur Verfügung.
Und schließlich bitten wir darum uns mitzuteilen, welche Art von Sicherheitslücke von den Tätern ausgenutzt wurde, seit wann diese bestand und seit wann sie Ihnen bekannt war. Die Antworten auf das Auskunftsersuchen bitten wir direkt an uns zu senden.
Für die Auskunfterteilung nach Artikel 15 DGVO haben wir uns im Einklang mit Artikel 12 Abs.3 DSGVO eine Frist von
einem Monat vermerkt. Eine Möglichkeit der Verlängerung nach Artikel 12 Abs.3 S.2 DSGVO sehen wir nicht als gegeben, da es sich durch den reduzierten Bereich um keine besondere Komplexität handelt und die Anzahl weniger als 0,01% Ihrer Kunden betrifft.
Mit freundlichen Grüßen

Profilbild katwoman

14.09.2019, 20:20 Antworten #

Ich habe eine andere Mail mit allgemeinen Zeugs erhalten.

Kommentar verfassen

Bild zum Kommentar hinzufügen (JPG, PNG)

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.