Bonusprogramm "Priceless Specials" Datenleck bei Mastercard schlimmer als erwartet

Wenige Tage nachdem Daten Zehntausender Kunden des Mastercard-Bonusprogramms im Internet auftauchten, ist eine zweite Datei veröffentlicht worden. Diese enthält auch vollständige Kartennummern.
Foto: DPA/Fabian Sommer

Bei dem Datenleck im Mastercard-Bonusprogramm "Priceless Specials" sind auch Listen mit vollständigen Kartennummern von Zahlungskarten in Umlauf gelangt. Mastercard teilte Kunden am Donnerstag mit, dass "möglicherweise" auch ihre Zahlungskartennummer betroffen sei, mit der sie sich bei dem Programm angemeldet hatten. In den ersten bekannt gewordenen Listen, die in einem Onlineforum aufgetaucht waren, waren die Nummern noch bis auf die letzten vier und die ersten zwei Ziffern unkenntlich gemacht worden.

Das dazugehörige Ablaufdatum und die Prüfnummer auf der Rückseite der Karte waren nicht Teil des Datenlecks. Damit können die geleakten Kartennummern nicht direkt für Einkäufe im Internet verwendet werden, weil dabei mindestens auch das Ablaufdatum abgefragt wird. Nach bisherigem Kenntnisstand wurden die beiden Zusatzinformationen nicht bei der "Priceless"-Anmeldung erhoben und sollten in der Datenbank gar nicht enthalten sein.

Mastercard verwies darauf, dass ein Dienstleister, der das Bonusprogramm betrieb, "einen Sicherheitsvorfall erlitten" habe. Es gebe dabei keine Verbindung zum Zahlungsnetzwerk von Mastercard.

Zweite Datei mit Nutzerdaten aufgetaucht

Es besteht aber weiter die Gefahr, dass Online-Kriminelle mit den in Umlauf gelangten Informationen wie E-Mail, Geburtsdatum, Handynummer und Anschrift fingierte E-Mails verschicken können, um zum Beispiel an Passwörter zu kommen. Nach Informationen aus Branchenkreisen teilte Mastercard den ausgebenden Banken bereits mit, dass der Konzern die Kosten übernehmen werde, wenn Kunden nach dem Datenleck ihre Karten umtauschen wollen.

Mastercard hatte "Priceless Specials" Anfang des vergangenen Jahres in Deutschland an den Start gebracht. Bei dem kostenlosen Programm bekommt man für Transaktionen Bonuspunkte, die gegen Prämien eingetauscht werden können.

Auf seiner Webseite schreibt das Unternehmen, dass es nach dem ersten Vorfall, der am 19. August bekannt wurde, zwei Tage später von einer zweiten Datei mit persönlichen Informationen erfuhr, die im Internet "auf verschiedenen Webseiten" veröffentlicht wurde. Man arbeite daran, auch diese zu entfernen. Das Programm ist vorläufig gesperrt.

Wer fürchtet, von dem Vorfall betroffen zu sein, kann seine mit dem Mastercard-Bonusprogramm verknüpfte E-Mail-Adresse vom "Identity Leak Checker " des Hasso-Plattner-Instituts (HPI) überprüfen lassen. Laut "heise Security " sind die Daten aus dem aktuellen Datenleck bereits in dessen Datenbank eingespeist worden.

ngo/dpa
Die Wiedergabe wurde unterbrochen.