Mastercard-Bonusprogramm – schwere Datenpanne

Mastercard-Bonusprogramm – schwere Datenpanne

In den letzten Wochen ist bekannt geworden, dass es beim Bonusprogramm von Mastercard zu einer gravierenden Datenpanne kam. Nach dem aktuellen Wissensstand haben Cyberkriminelle bei einem Dienstleister (Auftragsverarbeiter) von Mastercard ungefähr 90000 Datensätze aus dem Bonusprogramm „Priceless Specials“ des Mastercard Unternehmens abgegriffen. Es soll sich bei den Daten über Informationen wie Namen, E-Mail-Adressen, Anschriften, Geburtsdaten, Telefonnummern und Kreditkarteninformationen handeln. Dazu kursiert eine Datei mit vollständigen Kreditkartennummern im Netz, die wohl ebenfalls von Mastercard stammt.

Bild von Mohamed Hassan auf Pixabay

Das Missbrauchspotential ist in diesem Fall besonders hoch, da zum einen durch die umfangreichen personenbezogenen Daten ein Identitätsdiebstahl betrieben werden könnte, zum anderen birgt der Diebstahl von Kreditkartendaten darüber hinaus auch finanzielle Risiken für die betroffenen Personen, wenn zum Beispiel Waren oder Dienstleistungen im Internet gekauft werden und mit den Kreditkarten der Betroffenen bezahlt werden.

Wie in der Datenschutz-Grundverordnung (DSGVO) vorgesehen, hat das Repräsentationsbüro von Mastercard Europe SA in Frankfurt am Main den Datenschutzvorfall bei der Hessischen Datenschutz-Aufsichtsbehörde (dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit) gemeldet. Nicht bekannt ist mir, ob eine Benachrichtigung an die Betroffenen erfolgt ist, was immer dann Pflicht ist, wenn durch die Datenpanne ein besonderes Risiko für die Rechte und Freiheiten der Betroffenen besteht. In diesem Fall würde ich das klar bejahen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit sagt auf seiner Internetseite aus, dass der Fall momentan geprüft wird, insbesondere in Bezug darauf, welche Aufsichtsbehörde überhaupt zuständig sei, da Mastercard Europe SA ein europaweit tätiges Unternehmen mit Hauptsitz in Belgien (Drukpersstraat 35, 1000 Brüssel; https://www.privacycommission.be/) sei, spräche einiges dafür, dass die belgische Behörden zuständig seien.

Mastercard Europe SA hat unter https://www.mastercard.de/de-de/faq-pricelessspecials.html eine FAQ-Liste mit weiteren Details zu der Datenpanne veröffentlicht, sowie eine E-Mail-Kontakt-Adresse Germany@mastercard.com für betroffene Personen eingerichtet.

Auch der Landesbeauftragte für Datenschutz Rheinland Pfalz hat zu dem Vorfall Stellung bezogen und gibt in einer Presseerklärung Tipps, wie sich betroffene Personen nun verhalten sollten.

  • Im ersten Schritt sollten die Inhaber einer Mastercard, vor allem aber die Teilnehmer am Bonusprogramm, überprüfen, ob ihre Daten von der Panne betroffen sind.
  • Dazu empfiehlt er, den Identity Leak Checker des Hasso-Plattner-Instituts aus Potsdam zu nutzen. Dort müssen die Benutzer lediglich die E-Mail-Adresse eingeben, mit der sie sich beim Bonusprogramm registriert hatten.
  • Ergibt der Test, dass die Daten des Nutzers kompromittiert wurden, sollten sich Betroffene umgehend mit Mastercard in Verbindung setzen.
  • Zudem müssen Nutzer unbedingt die Kreditkarten-Abrechnungen auf Unregelmäßigkeiten überprüfen.

Datenschutz-Experten erwarten in Zukunft gezielte Phisching-Attacken auf Basis der kopierten Informationen, um auf diesem Weg an weitere Daten zu gelangen.

Bild von TheDigitalWay auf Pixabay

Nach dem momentanen Stand koordiniert der Hessische Beauftragte für Datenschutz und Informationsfreiheit alle Anfragen zu der Datenpanne bei Mastercard in Deutschland.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Telefon: 0611-1408 0
Telefax: 0611-1408 611
E-Mail: poststelle(at)datenschutz.hessen.de
Internet: https://datenschutz.hessen.de

Die Zuständige Aufsichtsbehörde in Brüssel erreicht man unter

Commission de la Protection de la Vie Privée
Rue de la Presse 35
1000 Brussels
Telefon: +32 (0) 2 274 48 00
Telefax: +32 (0) 2 274 48 35
E-Mail: commission(at)privacycommission.be
Internet: https://www.privacycommission.be

Der Fall zeigt zum einen, wie weit die Digitalisierung alle unsere Lebensbereiche durchdringt und wie vorsichtig man mit seinen Daten umgehen sollte, zum anderen aber auch, wie wichtig es als Firma bei der Zusammenarbeit mit externen Dienstleistern ist, für die Absicherung der verwendeten Systeme zu sorgen und die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Ich habe zwar keine detaillierten Informationen, wie sich die Cyberkriminellen Zugang zu den Daten verschafft haben, gehe aber davon aus dass auch diese schwere Datenpanne bei Mastercard mit der richtigen Vorarbeit durch ein gutes Datenschutz-Management-System und entsprechend geschulte Mitarbeiter hätte verhindert werden können.

Schreibe einen Kommentar

Menü schließen

Mastercard-Bonusprogramm – schwere Datenpanne

by paul time to read: 3 min
0