Mastercard informiert Nutzer zum Priceless-Specials-Datenleak
von Olli | 32 Kommentare
Mastercard betreibt mit einem Partner ein Bonus-Programm für die eigenen Nutzer. Priceless Specials heißt das Ganze und Nutzer dieses Services sind nun zum Großteil Opfer eines Datenlecks geworden. Man äußerte sich bereits zu dem Thema und gab an, dass man der Sache schnellstmöglich nachgehen möchte. Die Kommunikation an die betroffenen Nutzer blieb bisher aber aus – bis heute Nacht.
Sollten eure Daten mit in der offengelegten Datenbank sein, dann habt ihr sicher nun auch eine Mail erhalten, in der man den Sachverhalt noch einmal schildert und offenlegt, was genau für Daten entwendet wurden. Mastercard arbeitet eng mit den Behörden zusammen, um den Vorfall zu untersuchen und überwacht das Internet nach potenziellen Identitäsdiebstählen. Auch informiert man, dass man euer Bankinstitut kontaktiert habe und warnt vor potenziellen Phishing-Versuchen.
Als „Entschädigung“ bietet man dem Nutzer an, ein Jahr lang kostenfrei einen Dienst zu eben jener Identitätsüberwachung nutzen zu können, eine Mail an Mastercard reicht dafür aus. Das Kind ist nur leider in den Brunnen gefallen, meist kommt man um das Sperren der Karte nicht herum. Hier ist die Mail in voller Länge:
Wichtige Nachricht von Priceless Specials
Sehr geehrte/r Herr/Frau …,
Wir schreiben Ihnen, um Sie über ein aktuelles Ereignis zu informieren, das sich auf Ihre in unserem Priceless Specials Programm erfassten personenbezogenen Daten auswirken könnte. Das Programm wird von einem unserer Dienstleister betrieben. Wir möchten Ihnen zunächst versichern, dass dieses Ereignis keine Auswirkungen auf das Mastercard Zahlungsnetzwerk hat; der Vorfall ist beschränkt auf das Priceless Specials Programm.
Was ist passiert?
Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.
Welche Informationen waren betroffen?
Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgende Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) ihrer Zahlungskarte wurden nicht offengelegt.
Welche Risiken bestehen?
Böswillige Dritte könnten Ihre Mastercard Zahlungskartennummer missbrauchen. Die betroffenen Daten könnten zudem verwendet werden, um Sie zu kontaktieren (z.B. per E-Mail, SMS oder Telefon) oder um zu versuchen, über einen Täuschungsversuch personenbezogene Daten von Ihnen zu beschaffen (bekannt als „Phishing“). Diese böswilligen Dritten könnten sich als Mastercard ausgeben oder Ihnen E-Mails senden, die so wirken, als kämen sie von Mastercard.
Mastercard wird Sie niemals direkt anrufen oder direkt per E-Mail kontaktieren, um persönliche Daten oder Kontoinformationen anzufordern. Betrügerische Anrufe, SMS oder E-Mails sollten Sie der Polizei und den zuständigen Behörden melden. Sollten Sie eine E-Mail erhalten, die vermeintlich von Mastercard stammt aber nicht von „mastercard.com“ gesendet wurde, dann können Sie dies an uns melden, indem Sie diese E-Mail an stopit@mastercard.com weiterleiten.
Das unternehmen wir dagegen
Nachdem wir von der Veröffentlichung der Daten im Internet erfahren hatten, haben wir den Vorfall umgehend untersucht. Wir überwachen fortlaufend, ob die Daten an anderer Stelle im Internet veröffentlicht werden, und wenn ja, werden wir alles tun, um sie zu entfernen.
Wir arbeiten eng mit den zuständigen Behörden zusammen, um diesen Vorfall zu untersuchen. Um Sie vor möglichen negativen Folgen zu schützen, bieten wir Ihnen an, ein Jahr lang für Sie kostenlos einen Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl ohne Kosten für Sie zu nutzen. Auch dann wenn Ihre Daten von dem Vorfall nicht betroffen waren, können Sie von diesem Service profitieren. Um Ihr Konto zu aktivieren, senden Sie bitte eine E-Mail an germany@mastercard.com.
Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte. Und, wie immer, wird Mastercard Sie vor betrügerischen Abbuchungen und Transaktionen schützen. Siehe weitere Informationen hierzu unter: https://www.mastercard.de/de-
Für weitere Informationen
Mastercard ist der Schutz Ihrer Daten sehr wichtig, und wir nehmen diese Angelegenheit sehr ernst. Wenn Sie Fragen haben, können Sie uns unter germany@mastercard.com kontaktieren.
Seien Sie versichert, dass wir daran arbeiten, jegliche Unannehmlichkeiten zu minimieren, die Ihnen durch den Vorfall entstehen können. Wir bitten um Ihr Verständnis.
Ihr Specials-Team
Wird geladen ...
Hab die E-Mail auch bekommen, hatte von mydealz und Co aber schon alle Infos und neue Karte sollte morgen eintreffen, aber besser spät als nie informiert xD
Habe mich heute morgen bei https://eugd.org/schadenersatz/mastercard-priceless/ angemeldet. Wenn die Schadenersatz für mich rausholen, kriegen die 25% Provision und ich habe weder Arbeit noch Risiko. Das, was Mastercard hier tut und getan hat, ist nicht gut. Priceless Specials war immer ein Dienst von Mastercard und sobald was passiert, war es plötzlich „der Dienstleister“. So nicht.
Falsch. Du bist auf eine unseriöse Firma hereingefallen! Du Trottel hat einer Firma 25% Deines Schadenersatzes „für die Vermittlung eines Anwaltes“ abgetreten. 25% verschenkt. Du trägst weiterhin das volle Risiko eines Rechtsstreites, bei Erfolg bleiben Dir aber nur noch 75%.
Man sollte sich vorher genau durchlesen, worauf man sich einlässt. Diese Firma klagt nicht auf ihr Risiko für Dich. Das ist ganz etwas anderes als Bei Flugrechte-Portalen.
Aber vermutlich bist Du Mitarbeiter dieser unseriösen Firma und versuchst hier Opfer zu locken. Im Vielfliegertreff und anderen Foren zum Thema Priceless-Datenskandal gab es gestern bereits ähnliche Lockvogel-Beiträge mit Links dahin.
An deiner Stelle wäre ich mit solcher Wortwahl vorsichtig. Oder glaubst du ernsthaft ein Rechtsdienstleister ist zimperlich gegen dich wegen Verunglimpfung rechtlich vorzugehen?
Und was soll daran unseriös sein? Dass das nicht die Wohlfahrt ist und die Erfolgsprovision berechnen? Ich hoffe du arbeitest kostenfrei.
Du hast das Geschäftsmodell offenbar nicht verstanden. Die klagen nicht für Dich, die geben nur Deine Daten an einen Anwalt weiter. Du musst den dann beauftragen. Lies doch erstmal die Vertragsbedingungen, bevor Du hier was schreibst.
Und Drohungen, ich solle Vorsichtig sein, sind ja lachhaft. Soll derjenige, der diese Trittbrettfahrerei offenlegt, etwa eingeschüchtert werden? Sorry, is nicht. Ich halte das „Angebot“ und erst recht die „Werbung“ dafür per fingierter Forumsbeiträge für unseriös.
Das ist das gleiche Modell wie flightright – ist das auch unseriös? Keine Kostenrisiko, dafür 25% im Erfolgsfall abgeben. Besser als Aufwand und Risiko zu haben, zumal es wohl eh nur ein paar hundert Euro gibt. Da will ich nicht noch mehrere hundert Euro Risiko haben.
Wer keine Ahnung hat, sollte einfach mal ruhig sein. Es ist NICHT das gleiche Modell wie Flightright. Denn Flightright klagt für Dich auf deren Prozessrisiko und nimmt dafür eine Provision. Der Vermittler oben hingegen gibt bloß Deine Daten an einen (befreundeten?) Anwalt weiter und nimmt dafür Provision. Den Anwalt darfst schön Du selbst beauftragen und nur Du trägst das Prozessrisiko.
Ins Branchenbuch zu gucken und einen Anwalt zu finden, ist billiger als 25% anzugeben.
Lies Dir erst mal die Webseiten der beiden Anbieter durch, dann erkennst Du die Unterschiede.
Wurde scheinbar angepasst:
Mir ist bewusst, dass dieser Service der EUGD für mich kostenfrei ist und keine Rechtsdienstleistung oder Rechtsberatung darstellt. Ich stimme zu, dass ich im Falle des Erhalts eines Schadenersatzes (Erfolgsfall) 25% der Schadenersatz-Summe (Provision) an EUGD Europäische Gesellschaft für Datenschutz mbH (EUGD) abtrete. Diese Provision wird von der Kanzlei Raimer einbehalten und direkt an EUGD ausbezahlt. Nur wenn gegen den Rat des Anwalts oder EuGD weitere rechtliche Schritte unternommen werden sollen, entsteht ein Kostenrisiko. Ich stimme zu, dass EUGD keine Haftung für diesen Service übernimmt.
https://eugd.org/schadenersatz/mastercard-priceless/
Dann bitte zeige mir auf der Website, wo das stehen soll. Bei Flighright steht:
„Beauftragen Sie uns, holen unsere erfahrenen Reiserechtsexperten Ihnen Ihr Geld zurück. Wenn nötig gehen wir dafür bis vor Gericht. Sie werden stets über den Verlauf der Rechtsdurchsetzung informiert. Wir leiten Ihre Entschädigung umgehend an Sie weiter und behalten eine Erfolgsprovision von i.d.R. 20 bis 30 % zuzüglich Mehrwertsteuer ein. Haben wir keinen Erfolg, entstehen Ihnen keine Kosten.“
Bei eugd.org steht:
„Mir ist bewusst, dass dieser Service der EUGD für mich kostenfrei ist und keine Rechtsdienstleistung oder Rechtsberatung darstellt. Ich stimme zu, dass ich im Falle des Erhalts eines Schadenersatzes (Erfolgsfall) 25% der Schadenersatz-Summe (Provision) an EUGD Europäische Gesellschaft für Datenschutz mbH (EUGD) abtrete. Diese Provision wird von der Kanzlei Raimer einbehalten und direkt an EUGD ausbezahlt. Ich stimme zu, dass EUGD keine Haftung für diesen Service übernimmt.“
Der Unterschied ist doch wohl eindeutig. Die einen klagen auf Ihr Risiko für Dich, die anderen geben nur Deine Kontaktdaten weiter, machen keine Rechtsdienstleistung und haften nicht. Sie kassieren nur über den von Dir beauftragten Anwalt 25% Provision für das Weiterleiten Deiner Kontaktdaten. Na super.
Gerade auf mydealz gelesen, dass es wohl doch eindeutiger ist:
https://www.mydealz.de/comments/permalink/22674682
FAQs wurden scheinbar auch angepasst:
https://eugd.org/faq-datenschutz-schadenersatz/
Aber der Beitrag dazu ist auf mydealz verschwunden
Oh, tatsächlich. Die Website wurde geändert. Nun schreiben sie:
„Es entstehen lediglich Kosten, wenn gegen die Empfehlung des Anwalts ein Gerichtsverfahren durchgeführt werden soll.“
Das widerspricht aber der ansonsten eindeutig beschriebenen Rolle, nicht zu haften und selbst kein Rechtsdienstleister zu sein.
Um eindeutig zu sein, dann sollten Sie schreiben: „Wenn eine Klage, zu der der von uns vermittelte Anwalt geraten hat, verloren geht, übernehmen wir für Sie alle entstehenden Anwalts- und Gerichtskosten“. Nur das wäre wirklich eindeutig.
Ach bitte. Da geht’s um immateriellen Schadensersatz gemäß DSGVO. Bisher unbekanntes Terrain. Viel wird aber pro Person nicht herauskommen. Wenn das zB 100€ sind und davon 25€ weg gehen, dann ist das für wenig Aufwand viel Ertrag („Stundenlohn“) für dich Vs. erstmal einen echten Fachanwalt für Datenschutz ausfindig machen, Termin vereinbaren, ohne RSV schon für die Erstberatung in Vorleistung gehen müssen und und und.
Das ist ja die Nische der legal techs. Rechtsdienstleistungen digital und standardisiert gegen erfolgsabhängige Provision anzubieten die der Normalverbraucher ansonsten schlicht gar nicht in Anspruch genommen hätte.
Wenn du einen „Hausanwalt“ hast bei dem du regelmäßig Termine hast kannst du ihm die Sache ja beim nächsten Mal mit vorlegen. Ich schließe mich gern dem Angebot des legal tech an. Im Kern weil ich MC bestrafen will. Einige tausend mal ein kleiner Schadensersatz macht auch schon viel Geld aus. Die Unternehmen lernen erst Datenschutz ernst zu nehmen wenn sowas Geld kostet. Dann hat Datenschutz beim Controler auch eine Rechengröße.
Ich musste lachen… RSV. Kann man machen. Kann man aber auch lassen. Wurden zwei mal in die Defensive gezwungen und zack: Versicherung kündigt uns. Und schon stehst du auf der schwarzen Liste. Versuch mal auf den Namen, auf den die bisherige RSV lief und gekündigt wurde, eine neue RSV bei einem anderen Anbieter zu machen.
Mich ärgert an der Info E-Mail der letzte Satz: „Wir bitten um Ihr Verständnis.“
Mein Verständnis wollen die haben… Ich glaub es hackt.
Wie wäre es mit einer Entschuldigung?
Bei mir zeigt der Link in der E-Mail statt zur FAQ auf https://mastercard.de aber auf http://click.mastercard-email.com … Für mich auf den ersten Blick erstmal Phishing.
Das finde ich auch verantwortungslos. Sie lernen es einfach nicht.
Gestern noch bei der Sparkasse kostenlos eine Karte beantragt, da meine Daten auch vorlagen, email hab ich aber keine bislang, wobei ich auch nicht wüßte welche Adresse sie verwenden könnten. Das Priceless Teil nutze ich nie, es kann eigentlich nur über Amazon eingebunden worden sein.
Na klar, jetzt ist Amazon wohl der böse?
Bei Priceless Specials muss man sich aktiv anmelden. Da sind deine Daten nicht „einfach so“ und auch nicht durch andere Anbieter.
Wer sich nie bei dem Dienst angemeldet hat, kann auch nicht betroffen sein.
WOW! Das ging aber schnell… 😉 Bin zum Glück nicht betroffen.
Um welchen „Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl“ soll es sich hier handeln, weiss das jemand?
Halt wie gehabt, der Nutzer wird mit immer mehr Pseudosicherheitsmaßnahmen drangsaliert, so dass die Nutzung von wasauchimmer eher einem Hürdenlauf mit zu hohen Hürden gleicht.
Und dann verbummeln die Dienstleister meine Daten, und was soll mal da entschuldigen?
Wie wäre es stattdessen mit einem Leckerli (Barauszahlung) für die geschädigten Kunden, als Aufwandsersatz? Das mit dem Verklagen finde ich ne klasse Idee, sonst lernen die es nie.
Lustig. Die Mail ist eine Verhöhung der betroffenen Nutzer. Und dann noch das Angebot zur einjährigen Bonitätsprüfung (Schufa?? Who knows.) … offenbar sind die wirklich der Meinung, ihre Kunden seien lobotomierte Idioten.
Mich betrifft das glücklicherweise nicht.
Ich höre allerdings das erste Mal, dass einem die Möglichkeit geboten wird, was gegen den entstandenen Schaden zu unternehmen: Identitätsdiebstahlsüberwachung. Das hab ich bisher so nicht gehört und ist in meinen Augen das sinnvollere (die Effektivität sei mal dahingestellt, mangels Wissen darüber kann ich das nicht beurteilen) Angebot, als eine finanzielle „Entschädigung“. Die Unternehmen glauben doch oft, hier ist mit einem 100,-€ Gutschein dann genug entschädigt. Nur wenn die abgezogenen Daten wirklich dazu führen, dass jemand anfängt, damit kriminellen Unfug zu treiben, kann man ziemlich dumm da stehen.
Davon ab:
Wer heute noch erwartet, dass Unternehmen für ihre Fehler die Verantwortung übernehmen… wann war das denn zu letzt der Fall? Wo wird denn überhaupt heutzutage noch offen zugegeben, dass man einen Fehler gemacht hat? Nirgends. Nicht mal beim Fußball, wenn nach einem miesen Spiel die Spieler/Trainer interviewt werden. Es wird doch überall schön geredet ohne Ende. Und das ist, was mich ankotzt. Nur der Einzelne, der darf sich dann vor z.B. der Arbeitsagentur rechtfertigen, wenn ihm ein postalisch zugestellter Termin erst am Tag des Termins nach eben diesem Termin tatsächlich zugestellt wurde. Ich hab jedenfalls kein Mitleid mit solchen Unternehmen und das lasse ich die mittlerweile auch wissen, wenn ich mich ärgere. Da rufe ich auch mal an und beschwere mich einfach darüber sachlich, wie das abgelaufen ist. Auch wenn derjenige rein gar nichts dafür kann, den ich dann am Telefon habe. Eine sachliche Beschwerde müssen solche Leute abkönnen.
Also ich habe keine E-Mail erhalten.
Nix für Ungut, aber Artikel 82 DSGVO greift meines Erachtens nur, falls gegen die DSGVO verstoßen wurde.
Eine Datenpanne an sich ist aber noch kein Verstoß gegen die DSGVO.
Auch ist die Seite irgendwie widersprüchlich:
erst schreiben Sie, „Wir ermitteln die Chance auf Schadenersatz“..
und weiter unten wird auf den „von Ihnen vermittelten Anwalt“ verwiesen.
Nirgends steht, wie der „vermittelte Anwalt“ bezahlt wird, v.a. da ja 25% an die EUGD gehen und umsonst wird er auch kein Auskuftsersuchen für den Clienten durchführen….
Es gibt mehrere Ansätze:
1) Es gibt seit über 4 Wochen Hinweise darauf, dass die Daten Dritten zugänglich waren und Mastercard informiert wurde über Facebook, Twitter und E-Mail. Es wurde scheinbar nicht gehandelt.
2) Es sieht so aus als ob die Daten nicht verschlüsselt gespeichert wurden, was bei sensiblen Daten im Finanzumfeld wohl Standard sein sollte.
3) Die Kommunikation war bisher mindestens fragwürdig – sowohl in Richtung Aufsichtsbehörden als auch Kunden.
Alle drei Punkte sind in sich Verstöße gegen die DSGVO, die explizit immateriellen Schaden vorsieht. Entsprechend kann ich mir gut vorstellen, dass über EuGD was rumkommt.
„Unsere Plattform für die Vermittlung des Auskunftsersuchens, sowie später die Erwirkung des Schadenersatzes durch den Anwalt ist für Verbraucher kostenfrei. Es entstehen lediglich Kosten, wenn gegen die Empfehlung des Anwalts ein Gerichtsverfahren durchgeführt werden soll.“
Scheint also wirklich kein Risiko zu sein.
Wofür wird denn da Auskunft verlangt?
hmm…
Der erste Punkt ist mir neu. Falls dem so ist, also das Mastercard informiert war, dann hätte schon lange eine Meldung an die Aufsicht erfolgen müssen.
Der zweite Punkt ist relativ. Es kommt drauf an, wo die Daten gespeichert waren und wie der Zugriff darauf erfolgt ist. Im laufenden Betrieb sind auch verschlüsselte Daten zur Bearbeitung offen…. Nichtsdestotrotz stellt sich die Frage der Zugriffssicherung. Aber je nach Ausprägung wäre auch das unter Umständen kein Verstoß gegen die DSGVO
Für die Meldung an die Aufsicht hat Mastercard 72 Stunden (nach Bekanntwerden der Panne – siehe Artikel 33 DSGVO) zeit. Zur Kommunikation mit der Aufsicht denke ich kann wohl niemand außer der Aufsicht selbst etwas sagen. Die Information an Kunden erfolgt. Die Information an Kunden ist IMHO erst nach Kommunikation mit der Aufsicht erfolgt. Mastercard dürfte zu Beginn nicht von „hohes(m) Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ ausgegangen sein. War doch in der ersten Einschätzung noch von verschlüsselten Kreditkartennummern die Rede.
Bestimmte Sachen kann EUGD aber nicht beurteilen, v.a. weil Sie diesbezüglich auch kein Auskunftsrecht (auch der Betroffene nicht) haben. Daher hängt alles davon ab, was die Aufsichtsbehörde hierzu veröffentlicht.
Und hab mir das nochmal angeschaut. EUGD macht scheinbar nur in den „großen Fällen“ Massen-Einzelklagen. –>Geringer Aufwand bei großer Masse. Insofern ist es nachvollziehbar, dass Sie Ihre Dienstleistung tatsächlich „kostenlos/erfolgsabhängig“ anbieten….
1) https://www.facebook.com/MastercardDE/posts/2313597325383741
2) Würde einen komplett-Zugriff voraussetzen, aber auch das legt zu wenig Penetration Tests, Patch Management oder unsauberen Code nach – sollte im Finanzumfeld alles Standard sein. Da Kreditkarten-Daten verarbeitet und gespeichert wurden, sollte der PCI-DSS greifen, was sehr aufwendig ist: https://www.pcisecuritystandards.org/documents/Prioritized-Approach-for-PCI-DSS-v3_2_1.pdf?agreement=true&time=1566548248445
3) hängt mit 1) zusammen, aber wurde wohl auch korrigiert: Hinweis: Ursprünglich hatte das Büro des Datenschutzbeauftragten angegeben, dass keine Mitteilung zum Datenleck eingegangen sei. Tatsächlich lag die Nachricht aber bereits am Mittwoch vor, war jedoch noch nicht verarbeitet worden. Diese Angaben wurden daher nachträglich korrigiert. (UPDATE vom 22. August 2019) https://www.t-online.de/digital/internet/id_86297040/mastercard-informiert-betroffene-zum-datenleck.html
Zum Auskunftsrecht:
Nach der DSGVO hat Mastercard zu beweisen(!), dass sie sich dafür verantwortlich sind. Wenn also einer der drei Punkte oder ein anderer nicht korrekt lief, dann sollte es zB über EuGD auch Schadenersatz geben.
„Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Ich habe am Mittwoch kedapro beauftragt. Die schreiben ganz klar (https://www.kedapro.com/de/ansprueche-geltend-machen-mastercard-priceless-special-datenleck/): Es kostet nur dann etwas, wenn sie etwas für mich herausholen und davon wir das dann prozentual abgezogen.
Außerdem ziehen die, wenn keine Klage nötig ist, nur 15% ab, man hat also die Chance, noch mehr zu bekommen. (Im Klagefall genau so 25%)
Mastercard hat sogar schon das Aufforderungsschreiben in meinem Fall erhalten. Also bisher passt das.