Mastercard-Bonusprogramm: Datenleck - unbezahlbar!

Update 21.08.2019, 16:58 Uhr: Am Mittwochnachmittag tauchte im Netz auch eine Liste mit über 80 000 Kreditkartennummern auf, mit deren Hilfe die bereits geleakte Liste vervollständigt werden kann. Damit sind neue Betrugsszenarien denkbar, Kunden sollten betroffene Karten vorsorglich sperren lassen.

m internationalen Vergleich ist das Datenleck, das Montagnachmittag im Rabattforum mydealz.de auftauchte, kaum der Rede wert: Rund 90 000 Datensätze mutmaßlich von Kunden des "Priceless Specials" Bonusprogramms von Mastercard, fein säuberlich getrennt nach Namen, E-Mail-Adressen, Geburtsdatum, Wohnort. Bei etwa 4000 war zusätzlich eine Telefonnummer angegeben.

Auch für die Kreditkartennummern ist eine eigene Spalte angelegt, allerdings sind diese in dem Datensatz bis auf die letzten vier Ziffern unkenntlich gemacht, auch Passwörter für die Kundenkonten sind nicht in dem Leak zu finden. Chris Pelchen vom Potsdamer Hasso-Plattner-Institut für Informatik (HPI) kommt dennoch zu einem "positiven" Urteil. Das HPI betreibt seit 2014 den Identity-Leak-Checker, mit dem Bürger prüfen können, ob eine ihrer Online-Identitäten bei einem der zahlreichen Leaks im Netz gestohlen und veröffentlicht wurde. Anfang des Jahres etwa landete eine Sammlung von über zwei Milliarden Identitäten unter dem Namen "Collection #1" im Netz. Dagegen ist das mutmaßliche Mastercard-Leck natürlich winzig. Für Cyberkriminelle sei ein Datensatz wie dieser aber dennoch hochwertiges Material, sagt Pelchen. Zwar können mit den vorliegenden Daten keine Shopping-Touren im Netz unternommen werden, dafür bräuchte ein Angreifer neben der vollständigen Kreditkartennummer noch die Prüfnummer und das Ablaufdatum der Karte. Für professionelle Internetbetrüger sind solche gut gepflegten Kundendatenbanken aber aus einem anderen Grund mindestens ebenso interessant. Sie können für glaubwürdig erscheinende Phishing-Mails verwendet werden.

Gutes Rohmaterial für Phishing- und Spammails

Eine Absender-Adresse von Mastercard ist schnell vorgetäuscht. Mit den vorliegenden Informationen könnten sich die Angreifer dann ohne große Probleme als Mastercard-Servicemitarbeiter ausgeben und die Kunden unter einem Vorwand bitten, ihre Kennwörter auf einer gefälschten Mastercard-Seite einzugeben - oder sogar einen Anhang mit verborgenem Schadcode zu öffnen. Je mehr Phishing-Betrüger über ihre Opfer wissen, desto seltener schöpfen diese Verdacht. Die richtige Anrede und das Wissen darum, dass die Kunden an einem Bonus-Programm teilnehmen, dürfte in vielen Fällen schon reichen, um die Opfer auf dem falschen Fuß zu erwischen.

Geld machen können Betrüger dann, indem sie zum Beispiel über die Phishing-Masche echte Zugangsdaten erbeuten, oder indem sie die Kunden dazu bringen Ransomware auf ihren Rechnern zu installieren. Diese verschlüsselt Daten auf den Rechnern der Opfer und fordert für den Entschlüsselungscode Lösegeld in Form von Bitcoins. Mastercard gibt sich bisher äußerst zugeknöpft, was das Datenleck angeht. Zwar sperrte das Unternehmen nach ersten Hinweisen vorsorglich die Bonus-Plattform. Seither prangt auf der Internetseite der Hinweis, dass Mastercard die "Privatsphäre seiner Nutzer sehr ernst nehme" und man ein mögliches Problem mit der Plattform untersuche. Am Nachmittag ergänzte ein Sprecher: Das "Problem" sei von einem Drittanbieter verursacht worden. Von einem Leck oder gar einem Hack kein Wort.

Leck soll laut Mastercard von einem Drittanbieter stammen

Dass die Daten von "Priceless Specials" stammen, daran gibt es allerdings kaum Zweifel. Zahlreiche Nutzer von mydealz.de bestätigten dort, dass die von ihnen für das Mastercard-Programm genutzte E-Mail-Adresse in dem Datensatz zu finden war. Vollständig scheint die Kundenliste aber nicht zu sein, andere Nutzer suchten ihre E-Mail-Adresse in dem Leck vergeblich. Mastercard kündigte an, die registrierten Nutzer demnächst kontaktieren zu wollen. Wer jetzt schon prüfen will, ob er betroffen ist, kann auf https://sec.hpi.de/ilc seine E-Mail-Adresse eingeben und erhält die Antwort wenig später per E-Mail.

Es ist nicht das erste Mal, dass es in dem Forum Berichte über Unregelmäßigkeiten beim Bonus-Programm von Mastercard gibt. Im Juli herrschte dort helle Aufregung, nachdem Mastercard einigen Nutzern Bonuspunkte gestrichen hatte - die Punkte seien durch unrechtmäßige Methoden erworben worden.