Kommentar zum Datenleck bei Mastercard Priceless Specials

Diese Woche dürfte bei Mastercard wohl in unangenehmer Erinnerung bleiben. Am 19.08.19 wurde bekannt, dass über die Loyalty Plattform Priceless Specials zunächst über 90.000 Datensätze abgeflossen sind, die sich kurze Zeit später an vielen verschiedenen Stellen im Internet wiederfanden und frei herunterzuladen waren. Dabei handelte es sich um eine CSV-Datei mit Namen, Geburtsdatum, Anschrift, E-Mail-Adresse und teilweise den Telefonnummern der registrierten Benutzerinnen und Benutzer. Darüber hinaus wurde die bis auf sechs Stellen (die ersten zwei und die letzten vier) gekürzte Nummer der primär hinterlegten Mastercard angezeigt. Die letzten Einträge stammen von Ende Juni.

Mastercard hat die Plattform daraufhin vorsorglich deaktiviert und in einem ersten Statement darauf hingewiesen, dass mit diesen Daten keine betrügerischen Zahlungen möglich seien und das Zahlungsnetzwerk von Mastercard hiervon nicht betroffen sei:


Frühere Hinweise auf Probleme mit dem System

Daraufhin meldete sich via Social Media eine ganze Reihe von Betroffenen, deren via Priceless Specials bezogenen TUI-Reisecoupons schon im Mai als ungültig angezeigt wurden. Dazu muss man wissen, dass im Rahmen des Programms seit Oktober letzten Jahres verschiedene Coupons mit den Nennwerten 100€, 200€, 400€ und sogar 500€ für fleißige Kartennutzer als Prämie zur Verfügung standen.

Diese Coupons waren nahezu ohne Einschränkungen nutzbar und sogar übertragbar. Genau diese Coupons landeten wohl in größeren Stückzahlen auf Plattformen wie eBay und myDealz teilweise mit großen Preisabschlägen auf den Nennwert. Einigen Nutzern sollten gesperrte Gutscheine auf Nachfrage ausgetauscht worden sein.

Nachschlag gefällig?

Es kam, wie es kommen musste. Nachdem von allen Seiten darauf hingewiesen wurde, dass der Leak keine vollständigen Kartennummern umfasste, tauchte keine zwei Tage später wiederum eine Datei auf, die rund 78.000 Kartennummern enthielt, die in Verbindung mit Priceless Specials stehen soll. Auf dieser Liste habe einige Betroffene genau die Kartennummern identifiziert, mit denen sie bei Priceless Specials registriert waren.

Externer Betreiber

Aus den Datensätzen gingen eine Reihe von Testeinträgen hervor, die allesamt die gleiche E-Mail Domain nutzten und vor dem offiziellen Start von Priceless Specials in Deutschland getätigt wurden. Das betreffende Unternehmen beschäftigt sich u.a. mit Loyalty-Plattformen und IT-Systemen für Finanzinstitute.

Mastercard weist in einem weiteren Statement vom 22.08.2019 auch auf einen externen Betreiber hin:

Dennoch mag, aus menschlich und wirtschaftlich durchaus verständlichen Gründen, dieses betreffende Unternehmen nicht so gerne im Zusammenhang mit diesem Vorfall genannt werden und fordert Blogger auf, entsprechende Hinweise zu entfernen. Solange nicht endgültig feststeht, was nun genau wo schief gelaufen ist, und im Wissen dass heutzutage viele verschiedene Akteure an so einem Projekt beteiligt sein können, sind solche Vermutungen natürlich höchst problematisch, selbst wenn Indizien darauf hindeuten.

Was passiert nun?

Inzwischen tauschen die ersten Banken aktiv die betroffenen Karten aus, darunter N26, Curve und bunq. Mastercard hat die betroffenen Teilnehmer des Programms ebenfalls per E-Mail informiert und bietet ein Jahresabo eines „Identity Protection Services“ an. Interessanterweise steht dieser selbst in der Kritik. Mehr dazu hier beim Robert vom Blog Bavarian-Geek.

Bislang nicht beantwortet wurde die Frage, ob und wie Priceless Specials in Zukunft fortgesetzt wird.

Rufschaden, offene Kommunikation, rechtliche Folgen

Nach den beiden inhaltlich recht dürren Veröffentlichungen ging man bei Mastercard zunächst auf Tauchstation und mochte keine individuellen Anfragen zum Thema beantworten. Damit wollte man natürlich auch evtl. rechtlichen Folgen aus dem Weg gehen.

Jede beiläufige Bemerkung kann und wird in so einem Fall natürlich auch gegen Mastercard verwendet werden. Sei es in Bezug auf Schadenersatzforderungen, Strafen im Rahmen der DS-GVO oder sonstiger straf- und zivilrechtlicher Prozesse.

Bei den Betroffenen stieß die Sendepause dennoch auf großen Unmut. Mastercard war bis zu diesem Vorfall der Liebling in der Fintech-Szene. Nicht nur, dass die meisten Fintech-Firmen mit Mastercard kooperieren, aber auch gerade das Engagement in Deutschland für das bargeldlose Bezahlen und die lebhafte Beteiligung in den sozialen Medien kam bei den Leuten gut an. Die Reaktionen in den letzten Tagen zeigen aber deutlich, wie schnell man seine Beliebtheit verspielen kann.

Das geht sogar soweit, dass es in der Szene Leute gibt, die noch vor einer Woche jeden, der beim Thema Kartenzahlung Datenschutzbedenken äußerte, für verrückt erklärten und nun öffentlich lauthals darüber debattieren, ob Meldungen an den zuständigen Datenschutzbeauftragten reichen oder ob es nicht sogar eine Schadenersatzklage geben sollte. Dazu kommen natürlich auch die Kandidaten, die in Zukunft nur noch mit VISA zahlen wollen.

Ich persönlich finde das jetzt ziemlich übertrieben. Aber was weiß ich schon.

Man sieht hier aber ganz deutlich, dass durch Datenschutzpannen der öffentliche Ruf eines Unternehmens binnen kürzester Zeit Schaden nehmen kann. Das ist natürlich Wasser auf die Mühlen der DS-GVO-Verfechter, die Unternehmen so sensibilisieren wollen.

Immer das schwächste Glied in der Kette

Aber was lernen wir aus dem Vorfall? Mal wieder die alte Weisheit, dass eine Kette nur so stark ist, wie ihr schwächstes Glied.

Ich bin seit 1992 in der IT beschäftigt und habe schon Vieles miterleben dürfen. Ein großes Problem in vielen Unternehmen ist heute noch die sog. Schatten-IT. Das geht mit den berühmten Excel-Listen los, in denen losgelöst von sämtlichen Standards sensible Daten bearbeitet, gelagert und quer durch das Unternehmensnetz geteilt werden.

Gerade in großen Konzernen mit teilweise veralteten oder extrem starren IT-Strukturen ist man bereits vor vielen Jahren den Weg gegangen, Vorsysteme zu nutzen, die genau dieses Manko ausbügeln sollten. In dem Bereich bin auch ich tätig. Dabei ist es natürlich unerlässlich, dass diese Vorsysteme vergleichbare Sicherheitsstandards aufweisen und bzgl. der Rechtevergabe stringent sind. Es macht halt wenig Sinn, im ERP-System den Zugriff auf einzelne Datensätze auf bestimmte Nutzer zu beschränken und sogar zu protokollieren, wenn eine Kopie dieser Daten in einer für alle Mitarbeiter offen zugänglichen Datenbank auf einem SQL-Server liegen.

Besonders kritisch ist in diesem Zusammenhang zu erwähnen, dass viele Firmen inzwischen bestimmte Services von Drittanbietern nutzen. Ein bekanntes Beispiel sind Firmen, die im Auftrag ihrer Kunden eine große Anzahl von Newslettern verschicken. Für den Auftraggeber bestehen die Vorteile hauptsächlich darin, dass diese Systeme bessere Werkzeuge zur Gestaltung, zur Erfolgskontrolle aber auch dem Handling von sicheren Abmeldungen ermöglichen. Darüberhinaus blockiert man sich mit dem Versand auch nicht die eigenen Server und riskiert so auch keine Einträge auf den berühmten Blacklists wie Spamcop. Allerdings gibt man auf diese Weise ziemlich viele Informationen über seine Kunden an einen Drittanbieter weiter, dem man – Auftragsdatenverarbeitungsvertrag hin oder her – erst einmal vertrauen muss.

Auch im vorliegenden Fall hat man für die Abwicklung des Kundenbindungsprogramm zumindest auf ein externes Tool gesetzt.

Betrachtet man mal, an welchen Stellen in der Vergangenheit Kartendaten abgegriffen wurden, so trifft man immer wieder auf Orte und Systeme, die leicht angreifbar sind:

  • Geldautomaten und Türöffner durch Skimming
  • manipulierte Kartenzahlungsterminals in Geschäften
  • Onlineshops oder Telefon-/Mailorder-Händler, die Kartendaten noch unverschlüsselt in der Kundendatenbank speichern
  • Hotelbuchungsportale und Hotel-Systeme die Kartendaten zwecks Buchungsgarantie im Klartext hinterlegen, teilweise sogar unverschlüsselt per E-Mail oder Telefax übermitteln

Wenn der Vorfall eines deutlich zeigt, dann dass das System der Kreditkartenunternehmen nur solange sicher ist, wie bis zum letzten Händler und Terminal die gleichen Sicherheitsstandards angewandt werden. Damit verbietet sich aber auch die eigene Nutzung von IT-Systemen in Randbereichen, die nicht diesen Standards entsprechen.

Fazit

Dieser Vorfall ist ärgerlich und wird Mastercard sicherlich noch einige Zeit beschäftigen. Ich persönlich bin davon auch betroffen, allerdings stehen meine Adressdaten sowieso offen im Netz. Die betroffenen Mastercards habe ich Dank Push-Services eh im Blick. Lediglich den 500€-Coupon, den jetzt wohl jemand anders nutzen durfte, möchte ich gerne erstattet haben. Der war nämlich bereits verplant.

Ich werde natürlich auch in Zukunft nicht weniger mit Karte bezahlen oder eine andere Karte benutzen, denn das wäre ungefähr so, als wenn man wegen eines Datenlecks bei Payback plötzlich Angst um die Fleischqualität beim REWE-Metzger bekäme.