Mit dem Mastercard Bonusprogramm „Priceless Specials“ können Karteninhaber Bonuspunkte bei jeder einzelnen Transaktion sammeln und diese gegen Prämien eintauschen. Das beliebte Programm überrascht jetzt mit einem Datenleck: Rund 90.000 Kundendatensätze sind dabei abhandengekommen und im Internet gelandet.
Datensätze wurden bei einem Drittanbieter gestohlen
Eine Liste mit Namen, Anschriften, Telefonnummern, Geburtsdaten und gekürzten Nummern der Kreditkarten tauchte Anfang der Woche im Internet auf. Mittlerweile hat sich eine zweite Liste dazugesellt – dieses Mal mit den vollständigen Nummern, aber ohne eine Zuordnung zu den entsprechenden Namen. Verantwortlich ist dafür ein Drittanbieter, der für die Abwicklung des Bonusprogramms zuständig ist – hier hatte es laut offiziellen Verlautbarungen einen Sicherheitsvorfall gegeben.
Damit nimmt das Datenleck enorme Ausmaße an, denn: Immerhin könnten Cyber-Kriminelle mit den Informationen fingierte E-Mails verschicken, um durch diese an Passwörter zu gelangen. In einem ersten Schritt teilte Mastercard daher mit, dass der Umtausch der Karten zu Lasten des Konzerns gehe, falls diese einen Umtausch wünschen.
Zahlungssystem von Mastercard ist nicht vom Datenleck betroffen
Ein kleiner Trost für die Betroffenen: Das Zahlungssystem von Mastercard ist von der Datenpanne nicht betroffen. Dies ist mangels Verbindung zwischen Bonusprogramm und Zahlungsnetzwerk auch weiterhin ausgeschlossen. Ebenfalls nicht Teil des Datenlecks war das Ablaufdatum und die Prüfnummer der Kreditkarte: Es ist damit auch ausgeschlossen, dass Hacker die veröffentlichten Daten für Einkäufe im Internet verwenden – diese fragen bei der Zahlungsabwicklung regelmäßig mindestens das Ablaufdatum der Kreditkarte ab.
Verletzung von Informations- und Datenschutzpflichten
Mittlerweile hat der Vorfall auch die zuständigen Aufsichtsbehörden auf den Plan gerufen. Immerhin steht hier im Raum, ob Mastercard als Konzern nicht gegen geltende Datenschutzvorschriften verstoßen hat. Beschwerden von Betroffenen liegen demnach bereits vor und sind ebenfalls Gegenstand von Untersuchungen.
Als Unternehmen mit europäischem Hauptsitz im belgischen Brüssel ist hier die Datenschutzgrundverordnung (kurz: DSGVO) direkt einschlägig. Sie schreibt explizit vor, dass Datenpannen wie im vorliegenden Fall umgehend an die zuständigen Behörden gemeldet werden müssen – ob dies hier tatsächlich ohne unnötige Verzögerungen erfolgte, wird die Überprüfung zeigen.
Fazit
Auch Mastercard selbst hat nun Kunden über den Vorfall informiert. Der Konzern verschickte dafür Benachrichtigungs-E-Mails an die Teilnehmer des Bonusprogramms und warnte vor potenziellen Phishing-Versuchen. Verdächtige E-Mails sollen Kunden an Mastercard weiterleiten. Zusätzlich bietet das Unternehmen einen zusätzlichen Sicherheitsdienst an, der per E-Mail aktiviert werden kann.
Anzeige





Nun, da fühl ich mich als Betroffener irgendwie verar****. Mastercard hat scheinbar ein "goldenes Händchen" für externe Dienstleister...