Mastercard-Leak: Zweite Datei mit vollständigen Kartennummern aufgetaucht

Neben "Priceless-Specials"-Kundendaten geistern nun auch vollständige Kreditkartennummern durchs Netz. Es gibt einen Online-Check für potenziell Betroffene.

In Pocket speichern vorlesen Druckansicht 255 Kommentare lesen
Mastercard-Leak: Zweite Datei mit vollständigen Kartennummern aufgetaucht

(Bild: Shutterstock / Mircea Moira)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Zu einer Tabelle mit Datensätzen von zehntausenden Kunden des Bonusprogramms "Priceless Specials" von Mastercard, die vor wenigen Tagen im Internet auftauchte, hat sich nun eine Datei mit Kreditkartennummern gesellt. Auch auf sie wurde heise Security durch Leserhinweise aufmerksam.

Wie heise Security am vergangenen Montag berichtete, beinhaltete das ursprüngliche Datenleck Vor- und Zuname, Geburtsdatum, E-Mail-Adressen und häufig auch Postanschrift und Handynummern. Zusätzlich waren auch (ausnahmslos bis auf wenige Ziffern unkenntlich gemachte) Kreditkartennummern enthalten.

Die neu aufgetauchte Textdatei besteht hingegen aus rund 84.000 vollständigen Kartennummern – allerdings ohne zusätzliche Informationen wie Karteninhaber, Ablaufdatum oder CVC, die einen unmittelbaren Missbrauch ermöglichen könnten.

Einige heise-online-Leser berichteten im Forum, in der Tabelle mit Datensätzen ihre eigenen Daten entdeckt zu haben. Somit scheint die Echtheit des ersten Datenlecks (zumindest teilweise) bestätigt.

Ob die Textdatei mit den Kreditkartennummern tatsächlich mit dem ersten Datenleck in Verbindung steht oder ob es sich womöglich einfach um einen schlechten Scherz handelt, ist hingegen kaum nachvollziehbar. Vergleicht man die Anzahl der Kartennummern (84.000) mit der Gesamtzahl der Datensätze aus der Tabelle (fast 90.000 abzüglich diverser Zeilen mit doppelten oder "Kauderwelsch"-Einträgen) scheint ein Zusammenhang aber möglich.

In verschiedenen Foren äußerten sich sowohl Personen, die ihre Daten in beiden Dateien wiederfanden, als auch solche, bei denen dies nur einem Fall zutraf.

Wer überprüfen möchte, ob seine Daten Teil der zuerst aufgetauchten Tabelle sind, kann dies über den "Identity Leak Checker" des Hasso-Plattner-Instituts (HPI) herausfinden. Das HPI-Team bestätigte gegenüber heise Security, dass es das Leak am gestrigen Dienstagmorgen der Datenbank des Leak Checkers hinzugefügt habe.

Der Online-Service des HPI gleicht eingegebene E-Mail-Adressen mit der internen Datenbank ab. Anschließend verschickt er eine Antwortnachricht an die eingegebene Adresse. Im Falle einer Übereinstimmung mit dem Mastercard-Leck soll diese laut Leak-Checker-Team den Hinweis "Mastercard (Priceless Specials)" enthalten.

Eine "saubere" Antwortnachricht bedeutet allerdings nicht zwingend Entwarnung. Denn laut eigener FAQ speichert das HPI in seiner Datenbank nicht etwa alle geleakten Daten, sondern lediglich (mit einem kryptografischen Verfahren verschleierte) E-Mail-Adressen und "die Art bzw. den Typ der veröffentlichten Information zusammen mit der Quelle und dem Veröffentlichungsdatum". Somit setzt ein Treffer in der Datenbank voraus, dass dem kompromittierten Datensatz eine gültige E-Mail-Adresse zugeordnet ist.

Mastercard hat das Bonusprogramm "Priceless Specials" bereits am gestrigen Dienstag gesperrt und gegenüber heise Security versichert, das Problem "mit Hochdruck" zu untersuchen.

Mittlerweile ergänzte das Kreditkartenunternehmen sein ursprüngliches Statement um weitere Informationen. Zum einen äußerte es, "aktiv mit den registrierten Nutzern kommunizieren" zu wollen. Zudem teilte es mit, dass das "Problem" von einem Drittanbieter verursacht worden sei. Um welchen Drittanbieter es sich handelt, sagt Mastercard nicht.

Update 22.08.19, 13:05: Inzwischen hat Mastercard eine E-Mail an potenziell betroffene Kunden verschickt und darin das Leak bestätigt. Anmeldedaten und Passwörter sowie Ablaufdatum und Prüfnummern (CVCs) seien nicht offengelegt worden. Wir haben weitere Details in einer neuen Meldung zusammengefasst. (ovw)