Info zu geleakten Mastercard-Daten bei Mastercard Priceless Specials

3720
aktualisiert 21. Aug (eingestellt 19. Aug)
Update 3
Mastercard versendet seit heute Nacht E-Mails an die Betroffenen (siehe weiter unten die hinzugefügten Informationen von @FlareCO ) und bietet auf Wunsch eine einjährige kostenlose Mitgliedschaft bei einem Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl (meineSchufa?) an. Echte Worte der Entschuldigung für diese Panne fehlen hingegen leider.

Bleibt zu hoffen, dass in den nächsten Tagen nicht noch mehr Leaks kommen und nicht noch mehr Daten betroffen sind als bisher bekannt (ist ja so schon schlimm genug).

*UPDATE*

Hier geht es zur offiziellen FAQ von Mastercard.
Damit es auch möglichst viele mitbekommen: Es gab ganz offensichtlich ein Datenleck bei Priceless Specials (einem Bonus-Programm von Mastercard).

Heute Nachmittag wurde bei uns ein Link zu einem One-Click-Hoster gepostet, der zu einem Dokument mit rund 90000 Datensätzen führte. Enthalten waren neben gekürzten Mastercard-Nummer u.a. Vor- und Zunamen, E-Mail-Adressen, Geburtsdaten, (teilweise) Adressen sowie Telefonnummern von wie gesagt knapp 90000 Kunden.

Wir haben den Link umgehend gelöscht, um eine weitere Verbreitung der entwendeten Daten zu verhindern. Zusätzlich haben wir umgehend Mastercard über den Sachverhalt informiert.

Es gibt mittlerweile auch ein Statement von Mastercard dazu:

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen. Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.

Das Ganze sagt zwar nicht super viel aus, aber zumindest sind sie offensichtlich dran und vermutlich dürfte es bald auch eine Nachricht an die betroffenen Kunden geben.

Auch an dieser Stelle möchten wir noch einmal darauf hinweisen, dass das Teilen der genannten Liste unserer Meinung nach strafbar sein könnte, weswegen wir euch empfehlen, darauf zu verzichten. Wir werden auf mydealz jegliche Verbreitung unterbinden.

Sollte es wichtige Neuigkeiten geben, werden wir euch natürlich informieren. Bis dahin können wir euch nur dringend empfehlen, Eure Kartenabrechnungen zu kontrollieren und im schlimmsten Fall auch mit Phishing zu rechnen, da Eure Kontaktdaten ja ebenfalls betroffen sein könnten.
Zusätzliche Info
Um zu prüfen, ob man von einem Leak betroffen ist kann man seine Mailadresse bei haveibeenpwned.com/ und sec.hpi.de/ilc…=de eingeben. Beides sind renommierte Seiten. Falls es einen Treffer gibt wird angezeigt, aus welchem Leak die Adresse bekannt ist und welche Daten durch den Leak öffentlich wurden. Vermutlich dauert es einige Tage bis die Priceless Datensätze eingespielt werden.
Die Priceless Datensätze wurden jetzt bei sec.hpi.de/ilc/ eingespielt.
N26-Chat: Mit der Sperrung deiner Karte bist du ersteinmal auf der sicheren Seite. Unsere Sicherheitsabteilung arbeitet intensiv daran. Alle betroffenen werden von uns zeitnah kontaktiert und eine neue Karte angeboten bekommen. // Mit Sperrung der Karte meint der Mitarbeiter übrigens die von mir vorgenommene temporäre Sperre in der App.


Curve-Tweet (übersetzt): Wir nehmen die Sicherheit bei Curve sehr ernst und sind uns eines möglichen Datenverstoßes im Rahmen des MasterCard-Programms "Priceless Specials" bewusst. Sie werden kontaktiert, wenn Sie davon betroffen sind, dass Ihre Curve-Karte kostenlos wieder ausgegeben wird. Wenn Sie Fragen haben, wenden Sie sich bitte an uns. // Auch hier habe ich meine Karte temporär in der App gesperrt.
Ich kann bestätigen, dass es nun eine Liste mit unzensierten Daten gibt. Eine meiner drei Kreditkarten sind dort aufgeführt, komplett.

P.S.: Ich versende diese Liste nicht, anschreiben ist unnötig!!!
Bitte alle beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Beschwerde einreichen!

bfdi.bund.de/DE/…tml
Phishing Mails, die ihr an eure geleakte Adresse bekommt (dürfte wohl eher an die gerichtet sein, die eine dedizierte Adresse für das Programm genutzt haben) können die Infos an Mastercard weiterleiten unter:

stopit@mastercard.com

Quelle: Mail von MasterCard
Wichtige Nachricht von Priceless Specials

Sehr geehrte/r Herr WasGehtSieDasAn,

Wir schreiben Ihnen, um Sie über ein aktuelles Ereignis zu informieren, das sich auf Ihre in unserem Priceless Specials Programm erfassten personenbezogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienstleister betrieben. Wir möchten Ihnen zunächst versichern, dass dieses Ereignis keine Auswirkungen auf das Mastercard Zahlungsnetzwerk hat; der Vorfall ist beschränkt auf das Priceless Specials Programm.

Was ist passiert?

Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.

Welche Informationen waren betroffen?

Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) ihrer Zahlungskarte wurden nicht offengelegt.

Welche Risiken bestehen?

Böswillige Dritte könnten Ihre Mastercard Zahlungskartennummer missbrauchen. Die betroffenen Daten könnten zudem verwendet werden, um Sie zu kontaktieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versuchen, über einen Täuschungsversuch personenbezogene Daten von Ihnen zu beschaffen (bekannt als „Phishing"). Diese böswilligen Dritten könnten sich als Mastercard ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Mastercard.

Mastercard wird Sie niemals direkt anrufen oder direkt per E-Mail kontaktieren, um persönliche Daten oder Kontoinformationen anzufordern. Betrügerische Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zuständigen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeintlich von Mastercard stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiterleiten.

Das unternehmen wir dagegen

Nachdem wir von der Veröffentlichung der Daten im Internet erfahren hatten, haben wir den Vorfall umgehend untersucht. Wir überwachen fortlaufend, ob die Daten an anderer Stelle im Internet veröffentlicht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.

Wir arbeiten eng mit den zuständigen Behörden zusammen, um diesen Vorfall zu untersuchen. Um Sie vor möglichen negativen Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profitieren. Um Ihr Konto zu aktivieren, senden Sie bitte eine E-Mail an germany@mastercard.com.

Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte. Und, wie immer, wird Mastercard Sie vor betrügerischen Abbuchungen und Transaktionen schützen. Siehe weitere Informationen hierzu unter: mastercard.de/de-…tml.

Für weitere Informationen

Mastercard ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Angelegenheit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontaktieren.

Seien Sie versichert, dass wir daran arbeiten, jegliche Unannehmlichkeiten zu minimieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.

Ihr Specials-Team
offizielle Seite seitens MasterCard: mastercard.de/de-…tml
Am besten ist es daher, eine Beschwerde direkt hier einzureichen. datenschutz.hessen.de/ser…rde
Betroffene könnten sich möglicherweise über diesen Deal freuen, da es sich um ein gutes Schutzmittel gegen Identitätsdiebstahl handelt: mydealz.de/dea…324
Update 2
In den Kommentaren wurde darauf hingewiesen, dass wohl gerade noch eine weitere Liste im Internet die Runde macht, auf der die vollständigen Kreditkartennummern einzusehen sein sollen. Da man nun wirklich nicht wissen kann, ob auch noch weitere Daten wie CCV oder Ablaufdatum geleakt wurden, würde ich persönlich allen Betroffenen dazu raten, die jeweiligen Kreditkarten sperren zu lassen.

Denkt bitte dran: Teilt die geleakten Daten bitte weder hier in den Kommentaren noch per PN. Ihr macht euch damit u.U. selbst strafbar.
Update 1
Der geleakte Datensatz ist jetzt beim HPI Identity Leak Checker vom Hasso-Plattner-Institut hochgeladen worden. Ihr könnt durch Angabe Eurer E-Mail-Adresse jetzt also ganz einfach überprüfen, ob ihr betroffen seid.

Gruppen

Beste Kommentare
Ich empfehle euch dringend, auf haveibeenpwned.com/ eure E-Mailadressen zu checken. Auch, wenn der Leak hier vielleicht noch garnicht in deren Datenbank ist. Schaden kanns nix.
Wenn die Firmen doch nur soviel Geld in die Datensicherheit stecken würden wie in die Gehälter der Chefetage...
Im Grunde erwarte ich von Priceless, dass sie umgehend sämtliche Kreditkarten ausgebenden Unternehmen informiert und sofort nen Kartentausch anleiert. Warum muss ich also Kunde da jetzt auch noch hinterher rennen, die Karte sperren lassen und ggf. noch dafür bezahlen? Das hat automatisch durch die und zwar umgehend zu erfolgen!
Money_Saver21.08.2019 19:42

wäre mal interessant zu wissen. wie viele hier betroffen sind...


Jetzt 1 - 90.000 durchzuzählen macht keinen Sinn, weil User zeitgleich 2 und 3 ausrufen werden.
Da machen Likes deutlich mehr Sinn.

Also bitte keinen Zahlenspam, lieber Liken.
Bearbeitet von: "mydealz_Sir.Clegane" 28. Sep
3720 Kommentare
Na toll
Danke
Danke für die Info.
Das ist ja net so toll.
Kann man seine einzelne, eigene Mail Adresse irgendwo abfragen ob man dabei war?
Krass.
Danke für die Info!
Puhh ich dachte als erstes an Masterpass. Haben wir mal wieder Schwein gehabt
Kann irgendwie / irgendwo geprüft werden ob jemand betroffen ist?
danke für die Info!
bin begeistert
Muss mal anfangen auf jeder Seite getrennte Mails zu benutzen.
FoxyJackal19.08.2019 19:30

Puhh ich dachte als erstes an Masterpass. Haben wir mal wieder Schwein …Puhh ich dachte als erstes an Masterpass. Haben wir mal wieder Schwein gehabt


Und ich hab Masterpass mit Priceless vertauscht
Nochmal Glück gehabt
Ist zwar nicht schön, jedoch Danke für den Hinweis
Wenn die Firmen doch nur soviel Geld in die Datensicherheit stecken würden wie in die Gehälter der Chefetage...
Ich empfehle euch dringend, auf haveibeenpwned.com/ eure E-Mailadressen zu checken. Auch, wenn der Leak hier vielleicht noch garnicht in deren Datenbank ist. Schaden kanns nix.
Danke, aber prüft auch die aktuellen Kommentare in betreffendem Thread.
Backes8919.08.2019 19:29

Kann man seine einzelne, eigene Mail Adresse irgendwo abfragen ob man …Kann man seine einzelne, eigene Mail Adresse irgendwo abfragen ob man dabei war?


Das sollte man nur mit Vorsicht machen, um seine Daten nicht noch weiter zu verbreiten. Eine seriöse Seite zum Checken ist haveibeenpwned.com - allerdings ist dieser Leak dort (noch?) nicht in der Datenbank.
Top, da leaken Kreditkartenanbieter selber schon die Daten ihrer Kunden. Wird dann wohl der zweite Kartentausch innerhalb eines Jahres, klasse.
keiko19.08.2019 19:32

Kommentar gelöscht


N26 hat sofort neue verschickt, nachdem ich im Chat gefragt habe.
Ich habe gar keine Mastercard. Puhh..
FlatEric19.08.2019 19:34

Kommentar gelöscht


Noch nicht, Troy Hunt wurde aber schon per DM auf Twitter kontaktiert.
drehkreuzl19.08.2019 19:33

Danke, aber prüft auch die aktuellen Kommentare in betreffendem Thread.


Ja, kündigen und weiter hoppen.
Wie kann sowas passieren????
Es ist unfassbar. Gott sei Dank habe ich Ende letzter Woche sowohl die Advanzia als auch Mastercard gekündigt. Bei der Advanzia geht bereits nichts mehr seit Freitag.

Wer kann mir behilflich sein auf der Suche, ob ich ebenfalls auf der Liste bin?
keiko19.08.2019 19:32

Kommentar gelöscht


Nicht damit bezahlen
Danke für die Meldung
Super. Alle Kreditkarten gesperrt, Bank informiert. Auch wenn hier nur gekürzte Karten drin war, kann es sein, dass andere Menschen die vollen haben.

Ich liebe es (bada ba ba ba)
Danke für die Info.
Habe dort nur die Curve Karte hinterlegt. Vorsorglich sperren lassen und Neue bestellen? Die Kartennummer ist in der Liste jedoch gesperrt, fragt sich ob nicht die ganze Nummer irgendwo existiert
Nicht deren Ernst? Was für ein völlig inkompetenter Saftladen. Wenn es ein Unternehmen mit zig Milliarden Transaktionen am Tag schon nicht hinbekommt.. Sprachlos.

Nicht, dass ich mich nicht bereits daran gewöhnt hätte, in Spam und Phishing mit Namen und uralter Adresse angesprochen zu werden. Aber das..

Höchste Zeit, alles in Richtung Dezentralisierung, Ende-zu-Ende Verschlüsselung und absoluter Datensparsamkeit zu bewegen.

25 Jahre im Netz unterwegs und die Big Player haben einfach nichts gelernt. Ich hätte es besser wissen können, klar. Besser späte Einsicht als gar keine.
Wie sieht das jetzt mit Curve Kunden aus?
Wäre doch ein guter Deal. Umsonst schoppen, -100%. Schade
tonax19.08.2019 19:34

N26 hat sofort neue verschickt, nachdem ich im Chat gefragt habe.


Automatisch an alle Kunden oder nur an dich, nachdem du nachgefragt hattest?
Will eigentlich ne neue MasterCard umgehen
Super klasse. Ich bin mit kompletter Anschrift, Handynummer und Geburtsdatum vertreten. Scheißdreck.
Da hat sich wohl einer zu sehr über TUI Gutschein Aktion von Priceless aufgeregt.. aber deswegen muss man doch nicht gleich hacken
Backes8919.08.2019 19:29

Kann man seine einzelne, eigene Mail Adresse irgendwo abfragen ob man …Kann man seine einzelne, eigene Mail Adresse irgendwo abfragen ob man dabei war?


Ich glaube avast.com/hac…eck macht sowas
MF9019.08.2019 19:34

Wie kann sowas passieren????Es ist unfassbar. Gott sei Dank habe ich Ende …Wie kann sowas passieren????Es ist unfassbar. Gott sei Dank habe ich Ende letzter Woche sowohl die Advanzia als auch Mastercard gekündigt. Bei der Advanzia geht bereits nichts mehr seit Freitag.Wer kann mir behilflich sein auf der Suche, ob ich ebenfalls auf der Liste bin?


Unfassbar, da kann selbst Gott dir nicht helfen
Und was soll person x mit meinen daten anfangen? Mastercard ist abgesichert ich will nicht wissen wie viele Unternehmen heimlich daten abgreifen und wie viele hacker Zugang haben
Dein Kommentar
Avatar
@
    Text

    Diskussionen