zurück zum Artikel

Mastercard-Leak: Zweite Datei mit vollstÀndigen Kartennummern aufgetaucht

Olivia von Westernhagen
Mastercard-Leak: Zweite Datei mit vollstÀndigen Kartennummern aufgetaucht

(Bild: Shutterstock / Mircea Moira)

Neben "Priceless-Specials"-Kundendaten geistern nun auch vollstĂ€ndige Kreditkartennummern durchs Netz. Es gibt einen Online-Check fĂŒr potenziell Betroffene.

Zu einer Tabelle mit DatensÀtzen von zehntausenden Kunden des Bonusprogramms "Priceless Specials" von Mastercard, die vor wenigen Tagen im Internet auftauchte, hat sich nun eine Datei mit Kreditkartennummern gesellt. Auch auf sie wurde heise Security durch Leserhinweise aufmerksam.

Wie heise Security am vergangenen Montag berichtete [1], beinhaltete das ursprĂŒngliche Datenleck Vor- und Zuname, Geburtsdatum, E-Mail-Adressen und hĂ€ufig auch Postanschrift und Handynummern. ZusĂ€tzlich waren auch (ausnahmslos bis auf wenige Ziffern unkenntlich gemachte) Kreditkartennummern enthalten.

Die neu aufgetauchte Textdatei besteht hingegen aus rund 84.000 vollstĂ€ndigen Kartennummern – allerdings ohne zusĂ€tzliche Informationen wie Karteninhaber, Ablaufdatum oder CVC, die einen unmittelbaren Missbrauch ermöglichen könnten.

Echtheit des zweiten Leaks ungeklÀrt

Einige heise-online-Leser berichteten im Forum, in der Tabelle mit DatensÀtzen ihre eigenen Daten entdeckt zu haben [2]. Somit scheint die Echtheit des ersten Datenlecks (zumindest teilweise) bestÀtigt.

Ob die Textdatei mit den Kreditkartennummern tatsĂ€chlich mit dem ersten Datenleck in Verbindung steht oder ob es sich womöglich einfach um einen schlechten Scherz handelt, ist hingegen kaum nachvollziehbar. Vergleicht man die Anzahl der Kartennummern (84.000) mit der Gesamtzahl der DatensĂ€tze aus der Tabelle (fast 90.000 abzĂŒglich diverser Zeilen mit doppelten oder "Kauderwelsch"-EintrĂ€gen) scheint ein Zusammenhang aber möglich.

In verschiedenen Foren Ă€ußerten sich sowohl Personen, die ihre Daten in beiden Dateien wiederfanden, als auch solche, bei denen dies nur einem Fall zutraf.

"Identity Leak Checker" fĂŒr potenziell Betroffene

Wer ĂŒberprĂŒfen möchte, ob seine Daten Teil der zuerst aufgetauchten Tabelle sind, kann dies ĂŒber den "Identity Leak Checker" des Hasso-Plattner-Instituts (HPI) [3] herausfinden. Das HPI-Team bestĂ€tigte gegenĂŒber heise Security, dass es das Leak am gestrigen Dienstagmorgen der Datenbank des Leak Checkers hinzugefĂŒgt habe.

Der Online-Service des HPI gleicht eingegebene E-Mail-Adressen mit der internen Datenbank ab. Anschließend verschickt er eine Antwortnachricht an die eingegebene Adresse. Im Falle einer Übereinstimmung mit dem Mastercard-Leck soll diese laut Leak-Checker-Team den Hinweis "Mastercard (Priceless Specials)" enthalten.

Eine "saubere" Antwortnachricht bedeutet allerdings nicht zwingend Entwarnung. Denn laut eigener FAQ speichert das HPI in seiner Datenbank nicht etwa alle geleakten Daten [4], sondern lediglich (mit einem kryptografischen Verfahren verschleierte) E-Mail-Adressen und "die Art bzw. den Typ der veröffentlichten Information zusammen mit der Quelle und dem Veröffentlichungsdatum". Somit setzt ein Treffer in der Datenbank voraus, dass dem kompromittierten Datensatz eine gĂŒltige E-Mail-Adresse zugeordnet ist.

Mastercard sieht Schuld bei einem Drittanbieter

Mastercard hat das Bonusprogramm "Priceless Specials" bereits am gestrigen Dienstag gesperrt und gegenĂŒber heise Security versichert, das Problem "mit Hochdruck" zu untersuchen.

Mittlerweile ergĂ€nzte das Kreditkartenunternehmen sein ursprĂŒngliches Statement um weitere Informationen. Zum einen Ă€ußerte es, "aktiv mit den registrierten Nutzern kommunizieren" zu wollen. Zudem teilte es mit, dass das "Problem" von einem Drittanbieter verursacht worden sei. Um welchen Drittanbieter es sich handelt, sagt Mastercard nicht.

Update 22.08.19, 13:05: Inzwischen hat Mastercard eine E-Mail an potenziell betroffene Kunden verschickt und darin das Leak bestĂ€tigt. Anmeldedaten und Passwörter sowie Ablaufdatum und PrĂŒfnummern (CVCs) seien nicht offengelegt worden. Wir haben weitere Details in einer neuen Meldung zusammengefasst [5]. (ovw [6])

URL dieses Artikels:
https://www.heise.de/-4501701

Links in diesem Artikel:

  1. https://www.heise.de/news/Datenleck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz-4500593.html
  2. https://www.heise.de/forum/heise-Security/News-Kommentare/Leck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz/Daten-stimmen-Wir-brauchen-eine-lex-honigpott/thread-6092823/
  3. https://sec.hpi.de/ilc/
  4. https://sec.hpi.de/ilc/about
  5. https://www.heise.de/news/Nach-dem-Datenleck-Mastercard-benachrichtigt-Kunden-4502408.html
  6. mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien