Mastercard Gold von Advanzia

ANZEIGE

unregistered

Erfahrenes Mitglied
24.04.2019
1.189
238
ANZEIGE
Das Datenleck war spätestens im Juli bekannt. Mastercard wurde auch darüber informiert, auf zahlreichen Kanälen. Dass da was passiert ist, war ja ein offenes Geheimnis. Von daher sind die 3 Tage im August, als dann die Liste endlich publik war, gar nicht das Relevante. Das Relevante ist, warum man nicht sofort im Juli gehandelt hat oder eigentlich unmittelbar dann, als die ersten Kunden sich wegen den gestohlenen TUI-Gutscheinen beschwerten. Zumindest eine Warnung hätte man damals aussenden müssen, selbst wenn die Sachlage noch nicht geklärt war und selbst dann, wenn MC wirklich so inkompetent gewesen sein sollte, von der Liste nicht vorher schon zu wissen. Genug Beweise wurden von allen Seiten geliefert, die mindestens eine Passwortänderung verlangt hätte.

Statt dessen lies man die Plattform kommentarlos weiterlaufen und gab einfach neue Gutscheine aus, um die Kunden zu beruhigen, während parallel weiter Datendiebstahl betrieben wurde.

Ich sag's mal so: Priceless war sogar bis heute noch problemlos zugreifbar und wurde erst vor ein paar Stunden deaktiviert, als hier im Forum darüber gesprochen wurde (was auch zeigt, dass MC hier mitliest, weil sie scheinbar selbst keinen Überblick haben).

Das soll rechtzeitiges und souveränes Reagieren sein?

.
.
.
.
.

Ha. Ha. Ha.

;-)
 
Zuletzt bearbeitet:

alex42

Erfahrenes Mitglied
02.04.2012
4.150
365
MUC
Und zudem drücken sie jetzt auch noch die Entscheidung an die Partnerbanken ab, ob die Karten getauscht werden sollen. Das müsste MC doch am besten wissen!

Es gibt nach jetzigem Stand keinen objektiven Grund, die Karten zu tauschen. Dass viele Banken (Mastercard kann das selbst ja gar nicht machen) den Tausch trotzdem vollzogen haben, hängt mit der öffentlichen Hysterie zusammen und der Panik, die manche Kunden ganz offenbar schieben. Ist halt gut fürs Image, lieber mal die Karten zu tauschen.


Das Datenleck war spätestens im Juli bekannt. Mastercard wurde auch darüber informiert, auf zahlreichen Kanälen.

Belege? Und jetzt bitte nicht wieder irgendwelche Screenshots von Facebooks-Posts, dass irgendwas nicht stimme, wie sie große Unternehmen dutzendfach pro Tag bekommen. Wo sind die konkreten, belegten Hinweise an den Datenschutzbeauftragten und die zuständigen Aufsichtsbehörden?


Genug Beweise wurden von allen Seiten geliefert, die mindestens eine Passwortänderung verlangt hätte.

Individuelle Passwörter sind nicht das Problem. Es wurde offensichtlich die komplette Datenbank abgegriffen, durch eine Sicherheitslücke oder einen Mitarbeiter.


Statt dessen lies man die Plattform kommentarlos weiterlaufen und gab einfach neue Gutscheine aus, um die Kunden zu beruhigen, während parallel weiter Datendiebstahl betrieben wurde.

Belege? Der Stand der geleakten Kundenliste ist von Ende Juni.
 
  • Like
Reaktionen: andreas123

unregistered

Erfahrenes Mitglied
24.04.2019
1.189
238
Also zunächst mal: Der Datenschutzbeauftragte wurde ja laut Finanz-Szene zumindest von einem Nutzer am 16. Juli über den scheinbaren Hack informiert und zum Beleg am 25. Juli öffentlich in den Social Media Kanälen nochmal (falls du weiter meinst, das sei alles nicht belegbar). Zufällig genau am selben Datum dieser Information an den Datenschutzbeauftragten begann Mastercard damit, bestimmte Gutscheine, aber nicht alle, zu sperren und TUI nahm ihre Gutscheinseite kommentarlos prophylaktisch offline - das indiziert für mich auch, dass man ab da was wusste, aber die Kunden nicht darüber informierte.

Klar, jetzt kannst du auch sagen: Dafür hatte niemand inklusive mir einen Beweis, also ist es doch okay, wenn MC nicht reagiert. Aber um Beweis alleine geht es hier nicht. Denn was du effektiv forderst ist, dass Unternehmen erst dann handeln müssen, wenn aus öffentlichen Vermutungen und Befürchtungen auch öffentliche Tatsachen werden, Mastercard also wirklich erst dann handeln musste, als die Kundenliste öffentlich und beleghaft im Netz war.

Sorry, dass sehe ich einfach anders.

Ich bin der Meinung, zu einem sorgfältigen Umgang und Schadensvermeidung gehört dazu, dass ich Hinweise nachgehe, selbst wenn die richtige Stelle nicht informiert wurde (was hier aber wohl durchaus stattfand) sondern nur die Zentrale oder das Social Media Team. Es gehört zum sorgfältigem Umgang mit Daten, dass Datenlecks mit allen Mitteln verhindert werden - erst recht die Veröffentlichung im Netz. Und dazu gehört, dass man Hinweisen nachgeht, selbst wenn's halt nervt. Auch spielt es es überhaupt keine Rolle, wie duzendfach das geschickt wird und wieviel davon Bogus ist - wenn schwere Anschuldigungen gemacht werden, sind diese zu prüfen. MC hat das entweder verschwiegen (dann stimmt das mit den 3 Tagen auch nicht) oder einfach nicht gemacht (dann halte ich das für mindestens fahrlässig).
Auch wurden die TUI Gutscheine ja massenweise in Untergrundforen im Bulk (und dann später einzeln auf eBay) verkauft (und auch die Hinweise dafür hat Mastercard rechtzeitig erhalten, ich habe die Beiträge dafür ja damals im Juli auch mitverfolgt) - selbst wenn MC zu dem Zeitpunkt nicht von einem Leak ausging, hätte man zumindest dem Wiederverkauf vorhandener Gutscheinnummern durch Dritte nachgehen müssen und wäre damit schnell auf die Spur des Problems gekommen. Getan wurde da nichts (oder zumindest nichts, was die Kunden über ihre potentielle Gefährdung informiert hätte).

Plakativ gesagt: Wenn jemand irgendwo anruft und sagt, da liegt ne Bombe und du nichts machst, weil du dir sagst "Sorry, aber liefern sie mir den Beweis sonst glaub ich Ihnen nicht!" und die geht dann hoch - tja, dann bist immer noch du schuld, nicht vorab reagiert zu haben.

Der Hauptgrund, warum die Kundenliste dann überhaupt öffentlich wurde, war ja primär auch, weil der Blogger, der sie am 19. August erhielt, keine Lust mehr hatte, dass MC da nicht reagierte und die letzte Möglichkeit für eine Reaktion war, den Beweis endlich öffentlich zu machen...

Außerdem: Individuelle Passwörter sind ein großes Problem, weil diese bei der Kundenliste einfach mit Hilfe anderer Leaks (z.B. wegen gleicher E-Mail Adresse) gematcht werden. Da loggt man sich dann in die Accounts dieser Nutzer ein und nimmt mittels Script die ganzen generierten Gutscheine mit. Zur Schadensvermeidung hätte man eine Sicherheitsänderung des Passworts durchführen müssen, spätestens als klar wurde, dass möglicherweise darüber Gutscheine abgegriffen wurden.
 
Zuletzt bearbeitet:

kmak

Erfahrenes Mitglied
12.03.2016
1.407
958
Spielt zwar eigentlich keine Rolle aber ein gutes hatte der Austausch - das Design hat deutlich gewonnen :)

Die Gelegenheit auch gleich zu einer Gültigkeitsverlängerung zu nutzen (und damit die Kosten zu minimieren) hat Advanzia aber versäumt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: totga

PMc

Erfahrenes Mitglied
12.07.2015
307
0
FRA

sparfux

Erfahrenes Mitglied
30.03.2016
1.483
29
Ich kapiere echt nicht, um was hier ständig diskutiert wird.

Ich auch nicht. Mastercard hat geschrieben

Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte.

Damit wird mir als Karteninhaber doch nie und nimmer einer "grobe Fahrlässigkeit" vorwerfen können, wenn die kartenherausgebenden Banken rechtzeitig über den Vorfall informiert wurden. Aus der Haftung bin ich raus. Die "kartenherausgebenden Institute" sollen entscheiden, was zu tun ist.
 
Zuletzt bearbeitet:

andreas123

Aktives Mitglied
04.07.2017
214
93
Welche Reaktion wäre denn deiner Meinung angemessen gewesen?
Sofortige Info, dass ein Datenklau stattgefunden hat und man den Umgang prüft.
Was bedeutet denn für dich "sofortig"? Sekunden? Minuten?

Es sollte klar sein, dass es eine Zeit dauert, eine solche Info zu schreiben und dass diese vor dem Versenden von mehreren Personen (u.a. von Juristen) geprüft und genehmigt werden muss.

Es sollte auch klar sein, dass in einer solchen Situation (auch in deinem eigenen Interesse) zuerst einmal Priorität hat, das Leck zu finden und, sofern es noch besteht, zu schließen.

Was hätte dir denn eine Info wie "Wir haben soeben festgestellt, dass Kundendaten veröffentlicht worden sind. Sonst haben wir noch nichts unternommen" gebracht? Ändern hättest du doch auch nichts mehr können, auch wenn du ein paar Stunden früher informiert worden wärst.
 

andreas123

Aktives Mitglied
04.07.2017
214
93
Außerdem: Individuelle Passwörter sind ein großes Problem, weil diese bei der Kundenliste einfach mit Hilfe anderer Leaks (z.B. wegen gleicher E-Mail Adresse) gematcht werden. Da loggt man sich dann in die Accounts dieser Nutzer ein und nimmt mittels Script die ganzen generierten Gutscheine mit. Zur Schadensvermeidung hätte man eine Sicherheitsänderung des Passworts durchführen müssen, spätestens als klar wurde, dass möglicherweise darüber Gutscheine abgegriffen wurden.
Die veröffentlichte Liste enthielt doch überhaupt keine Passwörter. Woraus schließt du, dass Mastercard diese überhaupt gespeichert hatte?
 

wizzard

Erfahrenes Mitglied
09.03.2009
9.289
3.318
Hier tun einige so, als sei der Kunde oder MC für einen Austausch verantwortlich. MC gibt keine Karten heraus, also tauschen sie auch keine aus. Und der Kunde hat damit auch nichts zu tun, weil nicht er es ist, der für einen Missbrauch der Karte haften muss. Ich bin froh für jede Karte, die ich jetzt nicht hab tauschen müssen und wüsste nicht, was der Vorteil sein sollte, den Tausch auf eigene Faust zu veranlassen. Kommt eine unberechtigte Belastung auf einer meiner Karten rein, kann ich dann immer noch tauschen (wenn es dann nicht eh von Bankseite aus erfolgt).

Auf Grund des Priceless-Leaks kam es bisher zu keinerlei betrügerischen Belastungen und deshalb ist stark anzunehmen, dass der Käse längst gegessen ist. Ich hielt die Tauscherei auf eigene Faust schon letzte Woche für unbegründete Hysterie, aber ihn jetzt noch zu machen, ergibt gar keinen Sinn mehr.
 
Zuletzt bearbeitet:

Heath_Beck

Erfahrenes Mitglied
09.06.2018
613
103
Ich bin froh für jede Karte, die ich jetzt nicht hab tauschen müssen und wüsste nicht, was der Vorteil sein sollte, den Tausch auf eigene Faust zu veranlassen. Kommt eine unberechtigte Belastung auf einer meiner Karten rein, kann ich dann immer noch tauschen (wenn es dann nicht eh von Bankseite aus erfolgt).

Ich habe meine 3 bei Priceless hinterlegten Karten, inklusive der Advanzia, auch tauschen lassen. Warum? 1.: Ausgestanden ist die Sache ja im Prinzip nie, meine Daten bleiben ja auf ewig im Netz und theoretisch kann es noch in 10 Jahren zu Betrugsversuchen kommen. 2.: Der Aufwand, die Karten zu tauschen, ist einfach geringer und vor allem Nerven-schonender als der Aufwand für evtl. Chargebacks. 3.: Es gibt mir einfach ein besseres Gefühl. 4.: Ich sehe es gar nicht ein, völlig unverschuldet, auch nur das geringste Risiko einzugehen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Magpi und mrcube

wizzard

Erfahrenes Mitglied
09.03.2009
9.289
3.318
1.: Ausgestanden ist die Sache ja im Prinzip nie, meine Daten bleiben ja auf ewig im Netz und theoretisch kann es noch in 10 Jahren zu Betrugsversuchen kommen.
Kann es nicht, da alle Karten ein Ablaufdatum <10 Jahre haben. Und daran, dass es bezüglich der gestohlenen Adressdaten noch in 10 Jahren zu Missbräuchen kommen, ändert auch ein Austausch deiner Kreditkarten nichts.

2.: Der Aufwand, die Karten zu tauschen, ist einfach geringer und vor allem Nerven-schonender als der Aufwand für evtl. Chargebacks.
Ich musste jetzt überall meine Daten der M&M-CC neu hinterlegen. Das hat mich 2 Stunden Arbeit gekostet. Ein Chargeback bei Betrug ist wesentlich weniger aufwändig; meist ist gar kein Chargeback notwenig, weil die Bank die Belastung erst gar nicht bucht.

4.: Ich sehe es gar nicht ein, völlig unverschuldet, auch nur das geringste Risiko einzugehen.
Ich auch nicht. Aber das Risiko ist, wie ich schon sagte, auf Kundenseite gleich null.

Es ist wie du unter 3. treffend schreibst, vor allem eine Gefühlssache. Du fühlst dich mit der neuen Karte einfach besser, auch wenn es keine sachlich gerechtfertigten Gründe für einen auf eigene Faust veranlassten Tausch gibt. Deswegen mag ich es nicht, wenn Leute vereinzelt schreiben "Ich musste jetzt meine Karte tauschen". Sie mussten es nicht, sie wollten es.
 
Zuletzt bearbeitet:

tcu99

Erfahrenes Mitglied
26.08.2016
6.632
1.275
Kostet es eigentlich Zinsen, wenn ich im Aldi Süd mir 200€ in bar mitnehme? Neuerdings geht das ja.
 

Heath_Beck

Erfahrenes Mitglied
09.06.2018
613
103
Kann es nicht, da alle Karten ein Ablaufdatum <10 Jahre haben. Und daran, dass es bezüglich der gestohlenen Adressdaten noch in 10 Jahren zu Missbräuchen kommen, ändert auch ein Austausch deiner Kreditkarten nichts.

Die Kreditkartennummer, die ja das einzige ist, was geleakt wurde, kann auch noch in 10 Jahren dieselbe sein. Es besteht ja immerhin das Risiko von Offline-Zahlungen mit gefälschten Karten, auch wenn sich das leicht beweisen lassen würde.

Ich musste jetzt überall meine Daten der M&M-CC neu hinterlegen. Das hat mich 2 Stunden Arbeit gekostet. Ein Chargeback bei Betrug ist wesentlich weniger aufwändig; meist ist gar kein Chargeback notwenig, weil die Bank die Belastung erst gar nicht bucht.

Gut, das ist sicher individuell verschieden, mein Zeitaufwand betrug max. 10 min. Karte 1 bei Amazon und Paypal hinterlegen, Karte 2 bei Curve und G Pay, Karte 3 wird erst mal nirgends mehr hinterlegt. Wenn ich jetzt bei meiner Hausbank das Chargeback Formular ausfüllen, ausdrucken, unterschreiben und Faxen muss dauert allein das schon länger - plus Wartezeit und das miese Gefühl das meine Kreditkartendaten missbraucht wurden.

Aber das Risiko ist, wie ich schon sagte, auf Kundenseite gleich null.

Das Risiko einen finanziellen Schaden zu erleiden ja, das Risiko deswegen irgendwann "Rennereien" zu haben nein.
 

mrcube

Aktives Mitglied
22.06.2017
111
0
Liebe Leute, könnt ihr den Mastercard-Leak bzw. generelle Fragen zu Chargeback etc. bitte im Priceless- oder sonstigem Thread besprechen? Das hat doch mit der Advanzia nun gar nichts zu tun!
 

tcu99

Erfahrenes Mitglied
26.08.2016
6.632
1.275
Hab mir mal mit der Advanzia Mastercard 200€ bei Aldi an der Kasse abgehoben.
Man sollte bedenken, dass man dann die PIN benötigt.
Zinsen fallen wohl laut Advanzia Telefonhotline keine an, da die Transaktion als normaler Einkauf gewertet wird/wurde.

Vielleicht gut zu wissen, wenn man doch mal kleinere Mengen Bargeld irgendwo braucht und keine Lust auf direktes Überweisen hat.
 

unregistered

Erfahrenes Mitglied
24.04.2019
1.189
238
Die veröffentlichte Liste enthielt doch überhaupt keine Passwörter. Woraus schließt du, dass Mastercard diese überhaupt gespeichert hatte?
Also erstens mal: Wenn Mastercard das Passwort nicht irgendwie gespeichert hätte, würde der Login nicht gehen.
Zweitens habe ich nie behauptet, die Passwörter wären geleakt. Das müssen sie gar nicht. Nochmal ganz langsam:
Man nimmt die E-Mail Adresse des Mastercards-Leaks, denn die ist bekannt. Diese wird dann mit Passwort-Leaks wie Combolist gematcht. Haben Nutzer bei Priceless z.B. das gleiche oder artverwandte Passwörter wie z.b. bei Dropbox, Adobe, MoneyBookers usw. benutzt, braucht man das Mastercard-Passwort ja eben gerade nicht. Und genau das ist garantiert passiert. Das dauert ein paar Sekunden und schon hast du die Liste inklusive funktionierender Passwörter.
Sehr wenigen Nutzern von geleakten Passwörtern oder teils auch gebrute-forcten Passwortkombinationen ist überhaupt bewusst, dass ihre E-Mail Adresse mit diesen Passwortkombinationen für genau solche Fälle im Netz kursieren. Die so gewonnenen Zugänge sind dann natürlich keine vollen 90.000, aber ein paar hundert oder tausend kommen da garantiert dabei raus. Und dann nimmt man sich schön die generierten TUI-Gutscheine mit.

Habe heute meine Pin der Advanzia Karte erfolgreich an einem ATM der Euronet-Gruppe auf Malta geändert.
Um wieder on-topic zu sein: Konnte bisher alle meine Mastercard PINs bis auf Fidor bei der Ersten Bank in Österreich ändern lassen. :)
 
Zuletzt bearbeitet:

simonks257

Erfahrenes Mitglied
15.10.2018
702
38
MUC München
Um wieder on-topic zu sein: Konnte bisher alle meine Mastercard PINs bis auf Fidor bei der Ersten Bank in Österreich ändern lassen. :)

Danke für den Tipp:)

Habe bisher alle meine Karten ändern können, außer die DKB. Weißt du zufällig ob dies bei der Ersten funktioniert? Wohne nahe an der Grenze, wäre also kein großer Aufwand für mich
 

unregistered

Erfahrenes Mitglied
24.04.2019
1.189
238
Aber selbstverständlich würde der Login gehen. Denn dafür braucht man lediglich einen Hash des Passworts. Passwörter im Klartext zu speichern, ist fahrlässig.
Hältst du mich für bescheuert? ;) Der Threadersteller hat ja auch nicht von Klartext gesprochen. Hashwerte oder eine Form der Encryption müssen aber trotzdem gespeichert werden. Und effektiv ist dies eine Abbildung des Passworts bzw. die Verifizierung desselbigen. Deswegen habe ich auch geschrieben, dass sie das in irgendeiner Form gemacht haben müssen. Welche, darüber können wir aber nur spekulieren. Außerdem heißt auch das noch lange gar nix. Als Dropbox damals seine Datenbank verloren hat waren viele Passwörter mit SHA1 verschlüsselt - und wie gut das die Nutzer geschützt hat, wissen wir heute ja alle. Effektiv geht's aber darum auch gar nicht, es ging um das Matching von geleakten Passwörtern mit vorhandenen Passwort-Listen.

Können wir jetzt zum Topic zurückkehren? ;)