Sicherheitslücke: Großes Datenleck bei Zahlungsdienstleister Mastercard führt zu Stopp des Priceless-Specials-Programms

Rund 90.000 gekürzte Kreditkarten-Nummern sowie weitere persönliche Daten enthält eine Datenbank, die aus einem Datenleck bei einem Bonusprogramm von Mastercard stammen soll. Der Zahlungsdienstleister spricht von einem "Problem" und stoppt das Programm.
Mastercard ist neben VISA eine der beiden großen internationalen Zahlungskarten-Gesellschaft. | (c) Mastercard
Rund 90.000 gekürzte Kreditkarten-Nummern sowie weitere persönliche Daten enthält eine Datenbank, die aus einem Datenleck bei einem Bonusprogramm von Mastercard stammen soll. Der Zahlungsdienstleister spricht von einem "Problem" und stoppt das Programm.
Das Mastercard-Bonusprogramm Priceless Specials soll von einem Datenleck betroffen sein. Eine Datenbank mit den Daten von rund 90.000 Personen aus Deutschland war am 19. August 2019 kurzzeitig in einem Online-Forum abrufbar. Das Problem ist dem Zahlungsdienstleister bekannt, es werde mit Hochdruck untersucht. "Vorsorglich haben wir die Priceless-Specials-Plattform umgehend geschlossen", erklärte die Sprecherin Juliane Schmitz-Engels. Über das Programm konnten Mastercard-Kunden Bonuspunkte für Transaktionen sammeln und diese gegen Prämien eintauschen.
Durch einen aufmerksamen Leser liegt Golem.de die Datenbank vor. Neben Vor- und Zuname, Wohnort, Geburtsdatum und der E-Mail-Adresse der Betroffenen sind auch die ersten und letzten vier Ziffern der Kreditkartennummer enthalten. Bei einem Teil der Nutzer ist zudem die komplette Anschrift sowie eine Telefon- oder Mobilfunknummer hinterlegt.
Auch wenn mehrere Namen doppelt und dreifach in der Datenbank enthalten sind, darunter Max Mustermann, wirkt sie insgesamt authentisch. Ob diese allerdings tatsächlich aus dem Mastercard-Bonusprogramm stammen, konnte Golem.de nicht verifizieren. Mastercard erklärte auf Nachfrage, derzeit keine weiteren Angaben zu dem potenziellen Datenleck, der Anzahl der Betroffenen oder den technischen Hintergründen machen zu können. "Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard", betont Schmitz-Engels. Gleiches liest sich auch in der von Mastercard veröffentlichten offizielle Stellungnahme zum aktuellen Datenleck.
Sofern die Daten echt sind, können Kriminelle sie für Phishing-Kampagnen verwenden. Beispielsweise können Phishing-Mails im Mastercard-Design mit den richtigen Daten versehen werden und so authentischer wirken.
Erst kürzlich wurden die Daten von über 100 Millionen Kunden der US-Bank Capital One kopiert. Kurz zuvor konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.