Die Täter setzten ein virusähnliches Skript ein, um in das System der Firma CardSystems Solutions einzudringen, wie der Kartenanbieter MasterCard mitteilte. Die Täter hätten dabei eine Lücke im Sicherheitssystem der in Arizona ansässigen Abrechnungsfirma ausgenutzt. CardSystems ist eine von mehreren Firmen, über die Transaktionen zwischen Einzelhandel, Käufern und Kreditkartenunternehmen abgewickelt werden.
Betroffen knapp 14 Millionen Kunden von MasterCard, aber auch mehr als 26 Millionen Kunden anderer Anbieter. Sie könnten deshalb zum Opfer von Betrügern werden, warnte MasterCard.
FBI ermittelt
Der Datendiebstahl wurde bekannt, als die Sicherheitsabteilung von MasterCard mehreren Betrugsfällen nachging, die auf eine Zahlungsabwicklung bei CardSystems zurückgeführt wurden. Es seien Namen, Bankangaben und Kreditkartennummern entwendet worden, sagte MasterCard-Sprecherin Sharon Gamsin. Adressen oder Sozialversicherungsnummern seien nicht betroffen.
Nach den ersten Hinweisen auf Hacker im System seien sofort Ermittlungen aufgenommen worden, an denen auch die US-Bundespolizei (FBI) beteiligt sei. Banken und Kunden seien von dem Sicherheitsleck informiert worden. Nach Angaben von MasterCards ist die Lücke im Sicherheitssystem bei CardSystems Solutions inzwischen geschlossen.
Kurz nach der Erklärung von MasterCard äußerte sich auch CardSystems zu dem Fall. Das Unternehmen sei schon seit Ende Mai über einen möglichen Datendiebstahl informiert, sei aber auf Bitten des FBI nicht an die Öffentlichkeit gegangen. Die Entscheidung von MasterCard, nun doch Informationen zu veröffentlichen, habe CardSystems überrascht. Das Unternehmen bearbeitet jährlich Transaktionen im Wert von mehr als 15 Milliarden Dollar.
Kunden haften nur für 50 Dollar
Nach amerikanischem Recht haften betrogene Kreditkarteninhaber mit höchsten 50 Dollar für den entstanden Schaden. Manche Kartenfirmen verzichten sogar darauf.
Der computergestützte Datenklau bei CardSystems Solutions war der schwerwiegendste in einer Serie von Aktionen zur illegalen Informationsbeschaffung in den USA in jüngerer Zeit. Betrüger nutzen gestohlene Daten dazu, eine andere Identität anzunehmen und sich so zu bereichern. Eine US-Verbraucherschutzorgansiation schätzte, dass vor dem jüngsten Fall in diesem Jahr bereits zehn Millionen US-Kunden vom Datenklau betroffen waren.
In der vergangenen Woche hatte die Citigroup zugegeben, im Computer gespeicherte persönliche Bankdaten von 3,9 Millionen Kunden verloren zu haben. Im vergangenen Monat hatte die US-Polizei Verdächtige festgenommen, welche die Daten von 700.000 Kontoinhabern von vier großen US-Banken, darunter die Bank of America, gestohlen haben sollen.