Play.com informiert über Sicherheitslücke

8
eingestellt am 22. Mär 2011
Von Play.com habe ich heute eine Email erhalten, die von einer Sicherheitslücke berichtet, die zwar nicht bei Play.com bestanden haben soll, aber bei einem Unternehmen, die für die Kundendaten zuständig sind.

Das wundert mich nicht, denn meine Mastercard wurde jetzt innerhalb von zwei Jahren zum zweiten Mal missbraucht. Dies passt auch im zeitlichen Zusammenhang mit Bestellungen bei Play.com.

Nach den Sicherheitslücken der Vergangenheit werden ich in England ausser bei Amazon nichts mehr bestellen. Auch wenn Barclays stets den Schaden anstandslos übernommen hat.

Ich empfehle eure Kreditkartenabrechnung bzw. online das Kartenkonto zu checken.

8 Kommentare

angenommen man hat diese Buchungen, wie macht man das bei der gebührenfrei Karte wieder rückgängig?

hab bisher noch keine Rechnung von meinem Anbieter bekommen

Das erinnert stark an Shopto.net damals. Die haben auch KK Daten damas "Verloren". Ich vermute ja verkauft, denn irgendwie müssen sich die guten Preise ja refinanzieren, aber da war es auch ein UK Store.

Bei Play.com sind es aber angeblich nur Emailadressen und Namen. Mehr nicht.

svigo: Es ist häufig so, dass die Kreditkartenanbieter von alleine deine Karte sperren, wenn auffällige Transaktionen drüber laufen. Bei mir wurde z.B.erst für 0,10$ eine Testtransaktion durchgeführt und dann bei Wettanbietern für die Höhe des Kartenlimits (gut, waren 500€) eingekauft. Wenn so etwas passiert, merkst du das spätestens beim nächsten Einkauf mit der Karte, weil du nichts mehr kaufen kannst. Sollten die Kartendiebe schlauer sein und die Transaktion wird nicht entdeckt, merkst du es erst auf der nächsten Monatsrechnung. Dann musst du Advanzia informieren. Meine betroffene KK war damals eine von einer deutschen Bank, da musste ich nur ein Formular ausfüllen, dass ich die Transaktion nicht autorisiert hatte und bekam den vollen Betrag zurück. Wie es bei Advanzia ist weis ich nicht, viele Banken haben mittlerweile eine "50€ zahlt der Kunde selbst, alles darüber übernimmt die Bank" Klausel.

Solltest du bei MasterCard Secure/Verified by VISA angemeldet sein, übernimmst du immer die volle Höhe bzw. bist auf Kulanz angewiesen, da die Banken sich hier auf den Standpunkt stellen, dass ähnlich wie bei EC-Karte+PINs du "grob fahrlässig" gehandelt hast.

Aber wie Retturn schon geschrieben hat sind hier "nur" die Mail-Adressen betroffen, weil das Sicherheitsloch nicht bei play, sondern bei der Firma war, die die Massenmails für play versendet.

On Sunday the 20th of March some customers reported receiving a spam email to email addresses they only use for Play.com.

Ich habe bis jetzt übrigens nichts bemerkt, auch im Spamfilter blieb nichts auffälliges hängen.

Wenn möglich, die Kreditkartendaten nicht dauerhaft im Shop speichern lassen, sondern jedes mal neu eingeben. Von Netteller gibt es ja eine Prepaid-Karte, mit der man sich für jeden Einkauf eine neue Nummer generieren kann. Die haben jedoch 2,95% Wechselgebühren. Langsam greift jedoch sowieso das oben genannte Mastercard Secure/Verified by Visa System um sich (bei Amazon glaube ich ab Juni/Juli verpflichtend), welches in meinen Augen für den Kunden eher Nachteile mit sich bringt (bei Trojaner/Phishing Attacken hat man praktisch keine Chance, sein Geld wiederzubekommen)

Verfasser

mathiass

svigo: Es ist häufig so, dass die Kreditkartenanbieter von alleine deine Karte sperren, wenn auffällige Transaktionen drüber laufen. Bei mir wurde z.B.erst für 0,10$ eine Testtransaktion durchgeführt und dann bei Wettanbietern für die Höhe des Kartenlimits (gut, waren 500€) eingekauft. Wenn so etwas passiert, merkst du das spätestens beim nächsten Einkauf mit der Karte, weil du nichts mehr kaufen kannst. Sollten die Kartendiebe schlauer sein und die Transaktion wird nicht entdeckt, merkst du es erst auf der nächsten Monatsrechnung. Dann musst du Advanzia informieren. Meine betroffene KK war damals eine von einer deutschen Bank, da musste ich nur ein Formular ausfüllen, dass ich die Transaktion nicht autorisiert hatte und bekam den vollen Betrag zurück. Wie es bei Advanzia ist weis ich nicht, viele Banken haben mittlerweile eine "50€ zahlt der Kunde selbst, alles darüber übernimmt die Bank" Klausel.Solltest du bei MasterCard Secure/Verified by VISA angemeldet sein, übernimmst du immer die volle Höhe bzw. bist auf Kulanz angewiesen, da die Banken sich hier auf den Standpunkt stellen, dass ähnlich wie bei EC-Karte+PINs du "grob fahrlässig" gehandelt hast.Aber wie Retturn schon geschrieben hat sind hier "nur" die Mail-Adressen betroffen, weil das Sicherheitsloch nicht bei play, sondern bei der Firma war, die die Massenmails für play versendet.



Genau so war es auch. Nach den erst "komischen" Umsätzen hat mich Barclays direkt angeschrieben und nachgefragt, ob denn diese Umsätze authorisiert seien bzw. werden. Das war jetzt zwei Wochen vor der gestrigen Email von Play. Da ich die KK nur fürs Tanken nutze, sowie bislang für Amazon.co.uk, Zavvi und Play, kann ich den Kreis der Datenlücke überschauen.

Frage zu "MasterCard Secure/Verified by VISA", welche ich für meine DKB und Advanzia Karten aktiviert habe. Ich kann mich nicht erinnern, dass diese Abfrage jemals bei TheHut/Zavvii/Play gekommen ist. Die Abfrage kommt doch nur, wenn man die KK-Daten direkt eingibt, bei den Shops sind diese aber doch gespeichert, oder nicht?

Ja, die von dir genannten Shops nutzen zur Zeit alle noch nicht das Verifikationsverfahren. Die Abfrage kommt während des Bestellprozesses, man wird ähnlich, wie wenn man mit Paypal zahlt, auf eine Seite bei visa.com/mas…com umgeleitet (oder deiner Bank, also irgendwo muss dkb/advanzia auftauchen), wo man seine Frage/Passwort eingeben muss. Die Antwort/Frage wird auch nirgends gespeichert, außer bei Visa/MC selbst.

Wer die Plastikkarten nutzt bzw. Autos leiht sollte sich wohl anmelden, zum Anmelden für's Verfied Verfahren brauch man nur Daten, die auf dem Perso stehen. Wenn man also beides aus der Hand gibt, aber noch nicht für Verfied angemeldet ist, kann sich jemand anderes anmelden und selber ein Passwort vergeben.

Verfasser

Update (2. Email)

Dear Customer,
As a follow up to the email we sent you last night, I would like to give you some further details. On Sunday the 20th of March some customers reported receiving a spam email to email addresses they only use for Play.com. We reacted immediately by informing all our customers of this potential security breach in order for them to take the necessary precautionary steps.
We believe this issue may be related to some irregular activity that was identified in December 2010 at our email service provider, Silverpop. Investigations at the time showed no evidence that any of our customer email addresses had been downloaded. We would like to assure all our customers that the only information communicated to our email service provider was email addresses. Play.com have taken all the necessary steps with Silverpop to ensure a security breach of this nature does not happen again.
We would also like to reassure our customers that all other personal information (i.e. credit cards, addresses, passwords, etc.) are kept in the very secure Play.com environment. Play.com has one of the most stringent internal standards of e-commerce security in the industry. This is audited and tested several times a year by leading internet security companies to ensure this high level of security is maintained. On behalf of Play.com, I would like to once again apologise to our customers for any inconvenience due to a potential increase in spam that may be caused by this issue .
Best regards,
John
John Perkins
CEO
Play.com

Sorry, aber je mehr Play informiert desto eher glaube ich, dass genau dort auch die KK-Daten "abhanden" gekommen sind.

Dein Kommentar
Avatar
@
    Text