Beiträge

security leak

Mastercard und die Bonitätsüberwachung – Vom Regen in die Traufe?

/2 Kommentare/in /von

Nach dem Datenskandal von MasterCard Priceless Specials hat das Unternehmen allen betroffenen Kunden ein Angebot unterbreitet. Aber hier kommt man wohl allen Anscheins nur vom Regen in die Traufe.

Wie schon in einem vorherigen Post erwähnt, hat MasterCard allen Opfern des Hacks bzw. Leaks nun endlich (mehr oder weniger) konkret über den Sachverhalt informiert. Den betroffenen wird ein Jahr lang kostenlos ein Dienst zur „Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl“ angeboten.
Ich habe bei MasterCard nachgefragt, was es damit genau auf sich hat.

 

Und MasterCard hat mir zügig geantwortet.

 

Vielen Dank, dass Sie sich an Mastercard wenden.

Mastercard bietet Ihnen kostenlos ein Jahr lang einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl an. Dieser Dienst (IdentityWorks Global Internet Surveillance) wird von Experian bereitgestellt und überwacht, ob Ihre persönlichen Daten auf öffentlichen Websites, Chatrooms, Blogs und an nicht öffentlichen Orten im Internet verfügbar sind, an denen Daten kompromittiert werden können, z. B. auf Seiten im Darkweb.

Experian IdentityWorks überwacht Tausende von Webseiten und Millionen von Datenpunkten mithilfe von Chatroom-Überwachung, Scraping und Forum Extraction, um nach persönlichen Informationen der Benutzer zu suchen. Wenn der Dienst ein Problem feststellt, erhalten Sie eine Warnmeldung und Anweisungen, wie Sie einen Experten erreichen können.

 

Dies ist ein optionaler Service. Es liegt ganz in Ihrem Ermessen, wie viele Informationen in die Identitätsüberwachung einbezogen werden sollen.

Führen Sie die folgenden Schritte aus, um Ihre persönlichen Daten zu überwachen:

1. Besuchen Sie die Experian IdentityWorks-Website: www.globalidworks.com/identity1

2. Geben Sie Ihren Aktivierungscode ein: XXXXXXX

3. Stellen Sie sicher, dass Sie sich bis zum 31. Dezember 2019 anmelden (Ihr Code wird nach diesem Datum nicht mehr funktionieren.)

Bitte beachte, dass:

– Der Aktivierungscode kann nur einmal verwendet werden.

– Für die Registrierung in Experian IdentityWorks ist keine Zahlungskarte erforderlich.

Bei allen Fragen zum Experian-Tool können Sie sich an das Support-Team unter globalidworks@experian.com wenden.

 

Bei Mastercard ist der Schutz Ihrer Daten sehr wichtig und wir nehmen diese Angelegenheit sehr ernst.

 

Ihr

 

Mastercard Team

 

Auf den ersten Blick wirkt das Angebot von Mastercard also gar nicht so schlecht. Wenn man sich jedoch mal etwas über das Unternehmen experian informiert, gerät man vielleicht ins Zweifeln.

 

Bei Wikipedia findet mal folgende Informationen dazu. (Link zum Beitrag)

 

Datendiebstähle

Die Experian-Tochter Court Ventures verkaufte personenbezogene Informationen von hunderttausenden Amerikanern an Hieu Minh Ngo, einem Vietnamesen der die Informationen dann auf den Webseiten Superget.info und Findget.me weiterverkaufte um den Käufern Identitätsdiebstahl zu ermöglichen. Die Informationen, die auf der Webseite anonym gekauft werden konnten, umfassten Name, Adresse, Sozialversicherungsnummer, Geburtsdatum, Arbeitsort, Dauer der Anstellung, staatliche Führerscheinnummer, Mädchenname der Mutter, Bankkontonummer(n), Bankleitzahl(en), E-Mail-Konto(en) und andere Benutzerpasswörter. 2015 wurde Hieu Minh Ngo von einem US-Gericht zu 13 Jahren Haft verurteilt. Court Ventures verkaufte Hieu Minh Ngo die Daten, weil er sich als Privatdetektiv ausgab.

Am 15. September 2015 wurden die Server von Experian gehackt. Bis zu 15 Millionen Menschen sind betroffen die entsprechende Dienste des Unternehmens in Anspruch genommen haben. Betroffen waren überwiegend Kunden der amerikanischen Mobilfunkfirma T-Mobile.

 

Die wirft natürlich kein besonders Gutes Licht auf den Anbieter.

 

Schon bei Priceless Specials setze MasterCard auf einen externen Dienstleister. Das Unternehmen hat es aber wohl nicht gerne, mit dem Vorfall in Verbindung gebracht zu werden. Also praktisch „Der dessen Namen nicht genannt werden darf“ ;)

Ob es jetzt der richtige Weg ist, dass MasterCard erneut die Arbeit einen externen Dienstleister zuschiebt, darf jeder für sich selbst entscheiden. Experian halte ich jedoch aufgrund der Berichte doch etwas fragwürdig. Ich persönlich werde den Dienst auf jeden Fall vorerst noch nicht nutzen und noch etwas Abwarten.

Bei einem Unternehmen wie der Schufa würde ich mich bedeutend besser aufgehoben wühlen. Diese bietet mit IdentSafe ein vergleichbares Angebot an. Welches jedoch kostenpflichtig ist und mit einem Preis von kapp 5€ monatlich nicht gerade günstig. Hier wäre also ebenfalls eine zeitweise, kostenlose Mitgliedschaft eine Option. Wenn auch diese Entschädigung mehr als dürftig wäre.

 

Schußwort

Ich für meinen Teil warte lieber noch etwas ab, bevor ich den Dienst buche. Werde wohl erst noch etwas ausführlicher recherchieren und abwarten was noch passiert.
Meine Daten sind ja schon im Netz… Was soll schon noch groß passieren?!

Endlich konkrete Informationen seitens Mastercard

/1 Kommentar/in /von

Mehrere Tage nach dem großen Datenskandal hat Mastercard nun endlich reagiert und die betroffenen Nutzer konkret informiert. 

 

 

 

Wir schreiben Ihnen, um Sie über ein aktuelles Ereignis zu informieren, das sich auf Ihre in unserem Priceless Specials Programm erfassten personenbezogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienstleister betrieben. Wir möchten Ihnen zunächst versichern, dass dieses Ereignis keine Auswirkungen auf das Mastercard Zahlungsnetzwerk hat; der Vorfall ist beschränkt auf das Priceless Specials Programm.

Was ist passiert?

Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.

Welche Informationen waren betroffen?

Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) ihrer Zahlungskarte wurden nicht offengelegt.

Welche Risiken bestehen?

Böswillige Dritte könnten Ihre Mastercard Zahlungskartennummer missbrauchen. Die betroffenen Daten könnten zudem verwendet werden, um Sie zu kontaktieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versuchen, über einen Täuschungsversuch personenbezogene Daten von Ihnen zu beschaffen (bekannt als „Phishing“). Diese böswilligen Dritten könnten sich als Mastercard ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Mastercard.

Mastercard wird Sie niemals direkt anrufen oder direkt per E-Mail kontaktieren, um persönliche Daten oder Kontoinformationen anzufordern. Betrügerische Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zuständigen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeintlich von Mastercard stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiterleiten.

Das unternehmen wir dagegen

Nachdem wir von der Veröffentlichung der Daten im Internet erfahren hatten, haben wir den Vorfall umgehend untersucht. Wir überwachen fortlaufend, ob die Daten an anderer Stelle im Internet veröffentlicht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.

Wir arbeiten eng mit den zuständigen Behörden zusammen, um diesen Vorfall zu untersuchen. Um Sie vor möglichen negativen Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profitieren. Um Ihr Konto zu aktivieren, senden Sie bitte eine E-Mail an germany@mastercard.com.

Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte. Und, wie immer, wird Mastercard Sie vor betrügerischen Abbuchungen und Transaktionen schützen. Siehe weitere Informationen hierzu unter: https://www.mastercard.de/de-de/faq.html#sicherheit.

Für weitere Informationen

Mastercard ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Angelegenheit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontaktieren.

Seien Sie versichert, dass wir daran arbeiten, jegliche Unannehmlichkeiten zu minimieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.

Ihr Specials-Team

security leak

Datenleck bei MasterCard Priceless weitet sich aus

/1 Kommentar/in /von

Vor wenigen Tagen ist eine Liste mit Daten aus dem MasterCard Priceless Programm veröffentlicht worden . Darin waren zahlreiche persönliche Daten, allerdings keine kompletten Kreditkartennummern. Jetzt ist jedoch eine Liste mit den vollständigen Kartennummern aufgetaucht. 

Daten von 90.000 Mastercard-Kunden kursierten im Netz

Das war die Schreckensmeldung am Anfang der Woche. Die veröffentlichte Tabelle enthielt zahlreiche persönliche Daten wie Vor- und Zuname, den Wohnort und teilweise auch die Straße samt Hausnummer. E-Mail-Adresse, Geburtsdatum, Telefonnummer. Dann noch das Registrierungsdatum und Angaben, ob man den Newsletter abonniert hat. Das wichtigste Detail, die Kartennummer war glücklicherweise unvollständig. Nur die ersten zwei sowie die letzten vier Stellen der Kartennummer waren verfügbar.

Heute erreicht der Hack bzw. Leak ein neues Ausmaß. Es tauchte eine Liste mit den vollständigen Kartennummern auf.

Dieses Mal, allerdings nur Kartennummern. Ohne weitere Details wie einen Namen oder ähnliche Daten. Wenn man jedoch beide Listen vorliegen hat, ist es wohl kein großes Problem beide Datensätze miteinander zu kombinieren.

Auch wenn sich dies erst einmal Fatal anhört: Bei den meisten Online Händlern kann man alleine mit der Kartennummer nicht einkaufen. In der Regel werden im Online-Handel bei einer Kartenzahlung weitere Daten wie Vor- und Zuname, die CVC-Prüfziffer, sowie das Gültigkeitsdatum der Karte abgefragt. Ausgeschlossen ist ein Betrug jedoch nicht.

Unter der Website https://sec.hpi.de/ilc/ kann man Überprüfen, ob man von diesem oder anderen Hacks betroffen ist. Falls man zu den betroffenen zählt, würde es sicher nicht Schaden bei seiner Bank nachzufragen und gegebenenfalls eine Ersatzkarte zu fordern.

Wie reagieren die Banken?

N26 hat mir im Support-Chat auf Nachfrage gleich eine neue Karte bestellt. Die Kundenberaterin hat mich hier auf keinerlei Kosten hingewiesen. Somit gehe ich davon aus, dass der Tausch für mich kostenlos ist.
Meine Antwort auf die Anfrage bei Fidor steht noch aus. Meine Karte von bunq hatte ich bisher glücklicherweise noch nicht hinterlegt.
Mal abwarten wie andere Banken reagieren oder gar selbstständig auf ihre Kunden zugehen. Erfahrungen dazu könnt ihr gerne in die Kommentare schreiben.

Schadensersatzansprüche fordern

Über die Website der Europäische Gesellschaft für Datenschutz kurz EuDG kann man den Fall auf Schadenersatzanspruch prüfen. Ob dies sinnvoll und empfehlenswert ist, kann ich aktuell leider noch nicht beurteilen. Mir erscheint die Sache erst einmal etwas suspekt.

Priceless Specials vorerst eingestellt

Mastercard hat das Programm vorerst eingestellt. Auf der Website erscheint folgende Meldung.

Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht. Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck.
Vorsorglich haben wir die Specials-Plattform umgehend geschlossen.

Dieses Problem hat keinerlei Auswirkungen und steht nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard.

support@specials.mastercard.de

 

Seid ihr auch Betroffen?

Habt ihr MasterCard Priceless genutzt?
Habt ihr schon eure Bank bezüglich des Vorfalls kontaktiert?
Wie hat diese reagiert?

 

Security

Datenbank mit rund 500 Mio. E-Mail-Adres­sen und Pass­wör­ter gefunden

/0 Kommentare/in /von

Der nächste Datenschutz Skandal ist da. Dieses mal wurde wieder eine gigantische Datenbank mit rund 500 Millionen persönlichen Daten gefunden.

Das BKA hat hier folgende Meldung veröffentlicht.

Das Bundeskriminalamt hat in einer Underground-Economy-Plattform im Internet eine Sammlung von ca. 500.000.000 ausgespähten Zugangsdaten gefunden. Die Daten bestehen aus Email-Adressen mit dazugehörigen Passwörtern. Vermutlich stammen die Daten von verschiedenen Hacking-Angriffen und wurden über einen längeren Zeitraum zusammengetragen. Die aktuellsten ausgespähten Zugangsdaten sind wahrscheinlich aus Dezember 2016.

Das Hasso-Plattner-Institut aus Potsdam hat eine Website erstellt mit der man schnell und einfach prüfen kann, ob man selbst betroffen ist.

https://sec.hpi.de/leak-checker/search

Das BKA gibt hier auch weitere hilfreiche Hinweise:

Überprüfen Sie, ob Ihre Daten betroffen sind und ändern Sie gegebenenfalls Ihre Passwörter. Überlegen Sie auch, wo Sie diese Zugangsdaten noch nutzen und ändern Sie auch hier Ihre Passwörter.

Generell gilt: Wenn möglich sollte man für unterschiedliche Dienste und Portale im Internet immer auch unterschiedliche Passwörter verwenden.

 

Hacks dieser Art häufen sich. Immer wieder wird eine Datenbank mit einer enormen Anzahl sehr persönlicher Daten veröffentlicht.

Genau aus diesem Grund ist es sehr wichtig:

Ausschließlich sichere Passwörter verwenden. Das BSI gibt hier hilfreiche Tipps für ein gutes Passwort.

  • Es sollte mindestens acht Zeichen lang sein, je länger desto besser.
    (Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.)
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
  • Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.
  • Nutzen Sie einen Passwortmanager, um möglichst komplexe Passwörter gut verwalten zu können.

 

Des weiteren sollten man alle Passwörter regelmäßig wechseln. So ist man selbst bei einer Veröffentlichung wie dieser auf der Sicheren Seite.