Mastercard Gold von Advanzia

[unregistered]

ANZEIGE

Das Datenleck war spätestens im Juli bekannt. Mastercard wurde auch darüber informiert, auf zahlreichen Kanälen. Dass da was passiert ist, war ja ein offenes Geheimnis. Von daher sind die 3 Tage im August, als dann die Liste endlich publik war, gar nicht das Relevante. Das Relevante ist, warum man nicht sofort im Juli gehandelt hat oder eigentlich unmittelbar dann, als die ersten Kunden sich wegen den gestohlenen TUI-Gutscheinen beschwerten. Zumindest eine Warnung hätte man damals aussenden müssen, selbst wenn die Sachlage noch nicht geklärt war und selbst dann, wenn MC wirklich so inkompetent gewesen sein sollte, von der Liste nicht vorher schon zu wissen. Genug Beweise wurden von allen Seiten geliefert, die mindestens eine Passwortänderung verlangt hätte.

Statt dessen lies man die Plattform kommentarlos weiterlaufen und gab einfach neue Gutscheine aus, um die Kunden zu beruhigen, während parallel weiter Datendiebstahl betrieben wurde.

Ich sag's mal so: Priceless war sogar bis heute noch problemlos zugreifbar und wurde erst vor ein paar Stunden deaktiviert, als hier im Forum darüber gesprochen wurde (was auch zeigt, dass MC hier mitliest, weil sie scheinbar selbst keinen Überblick haben).

Das soll rechtzeitiges und souveränes Reagieren sein?

.
.
.
.
.

Ha. Ha. Ha.

;-)

 

[alex42]

Und zudem drücken sie jetzt auch noch die Entscheidung an die Partnerbanken ab, ob die Karten getauscht werden sollen. Das müsste MC doch am besten wissen!

Es gibt nach jetzigem Stand keinen objektiven Grund, die Karten zu tauschen. Dass viele Banken (Mastercard kann das selbst ja gar nicht machen) den Tausch trotzdem vollzogen haben, hängt mit der öffentlichen Hysterie zusammen und der Panik, die manche Kunden ganz offenbar schieben. Ist halt gut fürs Image, lieber mal die Karten zu tauschen.

Das Datenleck war spätestens im Juli bekannt. Mastercard wurde auch darüber informiert, auf zahlreichen Kanälen.

Belege? Und jetzt bitte nicht wieder irgendwelche Screenshots von Facebooks-Posts, dass irgendwas nicht stimme, wie sie große Unternehmen dutzendfach pro Tag bekommen. Wo sind die konkreten, belegten Hinweise an den Datenschutzbeauftragten und die zuständigen Aufsichtsbehörden?

Genug Beweise wurden von allen Seiten geliefert, die mindestens eine Passwortänderung verlangt hätte.

Individuelle Passwörter sind nicht das Problem. Es wurde offensichtlich die komplette Datenbank abgegriffen, durch eine Sicherheitslücke oder einen Mitarbeiter.

Statt dessen lies man die Plattform kommentarlos weiterlaufen und gab einfach neue Gutscheine aus, um die Kunden zu beruhigen, während parallel weiter Datendiebstahl betrieben wurde.

Belege? Der Stand der geleakten Kundenliste ist von Ende Juni.

 

[unregistered]

Also zunächst mal: Der Datenschutzbeauftragte wurde ja laut Finanz-Szene zumindest von einem Nutzer am 16. Juli über den scheinbaren Hack informiert und zum Beleg am 25. Juli öffentlich in den Social Media Kanälen nochmal (falls du weiter meinst, das sei alles nicht belegbar). Zufällig genau am selben Datum dieser Information an den Datenschutzbeauftragten begann Mastercard damit, bestimmte Gutscheine, aber nicht alle, zu sperren und TUI nahm ihre Gutscheinseite kommentarlos prophylaktisch offline - das indiziert für mich auch, dass man ab da was wusste, aber die Kunden nicht darüber informierte.

Klar, jetzt kannst du auch sagen: Dafür hatte niemand inklusive mir einen Beweis, also ist es doch okay, wenn MC nicht reagiert. Aber um Beweis alleine geht es hier nicht. Denn was du effektiv forderst ist, dass Unternehmen erst dann handeln müssen, wenn aus öffentlichen Vermutungen und Befürchtungen auch öffentliche Tatsachen werden, Mastercard also wirklich erst dann handeln musste, als die Kundenliste öffentlich und beleghaft im Netz war.

Sorry, dass sehe ich einfach anders.

Ich bin der Meinung, zu einem sorgfältigen Umgang und Schadensvermeidung gehört dazu, dass ich Hinweise nachgehe, selbst wenn die richtige Stelle nicht informiert wurde (was hier aber wohl durchaus stattfand) sondern nur die Zentrale oder das Social Media Team. Es gehört zum sorgfältigem Umgang mit Daten, dass Datenlecks mit allen Mitteln verhindert werden - erst recht die Veröffentlichung im Netz. Und dazu gehört, dass man Hinweisen nachgeht, selbst wenn's halt nervt. Auch spielt es es überhaupt keine Rolle, wie duzendfach das geschickt wird und wieviel davon Bogus ist - wenn schwere Anschuldigungen gemacht werden, sind diese zu prüfen. MC hat das entweder verschwiegen (dann stimmt das mit den 3 Tagen auch nicht) oder einfach nicht gemacht (dann halte ich das für mindestens fahrlässig).
Auch wurden die TUI Gutscheine ja massenweise in Untergrundforen im Bulk (und dann später einzeln auf eBay) verkauft (und auch die Hinweise dafür hat Mastercard rechtzeitig erhalten, ich habe die Beiträge dafür ja damals im Juli auch mitverfolgt) - selbst wenn MC zu dem Zeitpunkt nicht von einem Leak ausging, hätte man zumindest dem Wiederverkauf vorhandener Gutscheinnummern durch Dritte nachgehen müssen und wäre damit schnell auf die Spur des Problems gekommen. Getan wurde da nichts (oder zumindest nichts, was die Kunden über ihre potentielle Gefährdung informiert hätte).

Plakativ gesagt: Wenn jemand irgendwo anruft und sagt, da liegt ne Bombe und du nichts machst, weil du dir sagst "Sorry, aber liefern sie mir den Beweis sonst glaub ich Ihnen nicht!" und die geht dann hoch - tja, dann bist immer noch du schuld, nicht vorab reagiert zu haben.

Der Hauptgrund, warum die Kundenliste dann überhaupt öffentlich wurde, war ja primär auch, weil der Blogger, der sie am 19. August erhielt, keine Lust mehr hatte, dass MC da nicht reagierte und die letzte Möglichkeit für eine Reaktion war, den Beweis endlich öffentlich zu machen...

Außerdem: Individuelle Passwörter sind ein großes Problem, weil diese bei der Kundenliste einfach mit Hilfe anderer Leaks (z.B. wegen gleicher E-Mail Adresse) gematcht werden. Da loggt man sich dann in die Accounts dieser Nutzer ein und nimmt mittels Script die ganzen generierten Gutscheine mit. Zur Schadensvermeidung hätte man eine Sicherheitsänderung des Passworts durchführen müssen, spätestens als klar wurde, dass möglicherweise darüber Gutscheine abgegriffen wurden.

 

[kmak]

Spielt zwar eigentlich keine Rolle aber ein gutes hatte der Austausch - das Design hat deutlich gewonnen

Die Gelegenheit auch gleich zu einer Gültigkeitsverlängerung zu nutzen (und damit die Kosten zu minimieren) hat Advanzia aber versäumt.

 

[PMc]

Ich sag's mal so: Priceless war sogar bis heute noch problemlos zugreifbar und wurde erst vor ein paar Stunden deaktiviert, als hier im Forum darüber gesprochen wurde (was auch zeigt, dass MC hier mitliest, weil sie scheinbar selbst keinen Überblick haben).

Hier lesen offenbar alle mit:
https://www.finanz-szene.de/payments/mastercard-schlampt-bei-schliessung-der-priceless-plattform/

 

[sparfux]

Ich kapiere echt nicht, um was hier ständig diskutiert wird.

Ich auch nicht. Mastercard hat geschrieben

Zudem haben wir Ihr kartenherausgebendes Institut über den Vorfall informiert, das Sie hinsichtlich Ihrer Zahlungskarte kontaktieren könnte.

Damit wird mir als Karteninhaber doch nie und nimmer einer "grobe Fahrlässigkeit" vorwerfen können, wenn die kartenherausgebenden Banken rechtzeitig über den Vorfall informiert wurden. Aus der Haftung bin ich raus. Die "kartenherausgebenden Institute" sollen entscheiden, was zu tun ist.

 

[andreas123]

Welche Reaktion wäre denn deiner Meinung angemessen gewesen?

Sofortige Info, dass ein Datenklau stattgefunden hat und man den Umgang prüft.

Was bedeutet denn für dich "sofortig"? Sekunden? Minuten?

Es sollte klar sein, dass es eine Zeit dauert, eine solche Info zu schreiben und dass diese vor dem Versenden von mehreren Personen (u.a. von Juristen) geprüft und genehmigt werden muss.

Es sollte auch klar sein, dass in einer solchen Situation (auch in deinem eigenen Interesse) zuerst einmal Priorität hat, das Leck zu finden und, sofern es noch besteht, zu schließen.

Was hätte dir denn eine Info wie "Wir haben soeben festgestellt, dass Kundendaten veröffentlicht worden sind. Sonst haben wir noch nichts unternommen" gebracht? Ändern hättest du doch auch nichts mehr können, auch wenn du ein paar Stunden früher informiert worden wärst.

 

[andreas123]

Außerdem: Individuelle Passwörter sind ein großes Problem, weil diese bei der Kundenliste einfach mit Hilfe anderer Leaks (z.B. wegen gleicher E-Mail Adresse) gematcht werden. Da loggt man sich dann in die Accounts dieser Nutzer ein und nimmt mittels Script die ganzen generierten Gutscheine mit. Zur Schadensvermeidung hätte man eine Sicherheitsänderung des Passworts durchführen müssen, spätestens als klar wurde, dass möglicherweise darüber Gutscheine abgegriffen wurden.

Die veröffentlichte Liste enthielt doch überhaupt keine Passwörter. Woraus schließt du, dass Mastercard diese überhaupt gespeichert hatte?

 

[wizzard]

Hier tun einige so, als sei der Kunde oder MC für einen Austausch verantwortlich. MC gibt keine Karten heraus, also tauschen sie auch keine aus. Und der Kunde hat damit auch nichts zu tun, weil nicht er es ist, der für einen Missbrauch der Karte haften muss. Ich bin froh für jede Karte, die ich jetzt nicht hab tauschen müssen und wüsste nicht, was der Vorteil sein sollte, den Tausch auf eigene Faust zu veranlassen. Kommt eine unberechtigte Belastung auf einer meiner Karten rein, kann ich dann immer noch tauschen (wenn es dann nicht eh von Bankseite aus erfolgt).

Auf Grund des Priceless-Leaks kam es bisher zu keinerlei betrügerischen Belastungen und deshalb ist stark anzunehmen, dass der Käse längst gegessen ist. Ich hielt die Tauscherei auf eigene Faust schon letzte Woche für unbegründete Hysterie, aber ihn jetzt noch zu machen, ergibt gar keinen Sinn mehr.

 

[Heath_Beck]

Ich bin froh für jede Karte, die ich jetzt nicht hab tauschen müssen und wüsste nicht, was der Vorteil sein sollte, den Tausch auf eigene Faust zu veranlassen. Kommt eine unberechtigte Belastung auf einer meiner Karten rein, kann ich dann immer noch tauschen (wenn es dann nicht eh von Bankseite aus erfolgt).

Ich habe meine 3 bei Priceless hinterlegten Karten, inklusive der Advanzia, auch tauschen lassen. Warum? 1.: Ausgestanden ist die Sache ja im Prinzip nie, meine Daten bleiben ja auf ewig im Netz und theoretisch kann es noch in 10 Jahren zu Betrugsversuchen kommen. 2.: Der Aufwand, die Karten zu tauschen, ist einfach geringer und vor allem Nerven-schonender als der Aufwand für evtl. Chargebacks. 3.: Es gibt mir einfach ein besseres Gefühl. 4.: Ich sehe es gar nicht ein, völlig unverschuldet, auch nur das geringste Risiko einzugehen.

 

[wizzard]

1.: Ausgestanden ist die Sache ja im Prinzip nie, meine Daten bleiben ja auf ewig im Netz und theoretisch kann es noch in 10 Jahren zu Betrugsversuchen kommen.

Kann es nicht, da alle Karten ein Ablaufdatum <10 Jahre haben. Und daran, dass es bezüglich der gestohlenen Adressdaten noch in 10 Jahren zu Missbräuchen kommen, ändert auch ein Austausch deiner Kreditkarten nichts.

2.: Der Aufwand, die Karten zu tauschen, ist einfach geringer und vor allem Nerven-schonender als der Aufwand für evtl. Chargebacks.

Ich musste jetzt überall meine Daten der M&M-CC neu hinterlegen. Das hat mich 2 Stunden Arbeit gekostet. Ein Chargeback bei Betrug ist wesentlich weniger aufwändig; meist ist gar kein Chargeback notwenig, weil die Bank die Belastung erst gar nicht bucht.

4.: Ich sehe es gar nicht ein, völlig unverschuldet, auch nur das geringste Risiko einzugehen.

Ich auch nicht. Aber das Risiko ist, wie ich schon sagte, auf Kundenseite gleich null.

Es ist wie du unter 3. treffend schreibst, vor allem eine Gefühlssache. Du fühlst dich mit der neuen Karte einfach besser, auch wenn es keine sachlich gerechtfertigten Gründe für einen auf eigene Faust veranlassten Tausch gibt. Deswegen mag ich es nicht, wenn Leute vereinzelt schreiben "Ich musste jetzt meine Karte tauschen". Sie mussten es nicht, sie wollten es.

 

[tcu99]

Kostet es eigentlich Zinsen, wenn ich im Aldi Süd mir 200€ in bar mitnehme? Neuerdings geht das ja.

 

[Heath_Beck]

Kann es nicht, da alle Karten ein Ablaufdatum <10 Jahre haben. Und daran, dass es bezüglich der gestohlenen Adressdaten noch in 10 Jahren zu Missbräuchen kommen, ändert auch ein Austausch deiner Kreditkarten nichts.

Die Kreditkartennummer, die ja das einzige ist, was geleakt wurde, kann auch noch in 10 Jahren dieselbe sein. Es besteht ja immerhin das Risiko von Offline-Zahlungen mit gefälschten Karten, auch wenn sich das leicht beweisen lassen würde.

Ich musste jetzt überall meine Daten der M&M-CC neu hinterlegen. Das hat mich 2 Stunden Arbeit gekostet. Ein Chargeback bei Betrug ist wesentlich weniger aufwändig; meist ist gar kein Chargeback notwenig, weil die Bank die Belastung erst gar nicht bucht.

Gut, das ist sicher individuell verschieden, mein Zeitaufwand betrug max. 10 min. Karte 1 bei Amazon und Paypal hinterlegen, Karte 2 bei Curve und G Pay, Karte 3 wird erst mal nirgends mehr hinterlegt. Wenn ich jetzt bei meiner Hausbank das Chargeback Formular ausfüllen, ausdrucken, unterschreiben und Faxen muss dauert allein das schon länger - plus Wartezeit und das miese Gefühl das meine Kreditkartendaten missbraucht wurden.

Aber das Risiko ist, wie ich schon sagte, auf Kundenseite gleich null.

Das Risiko einen finanziellen Schaden zu erleiden ja, das Risiko deswegen irgendwann "Rennereien" zu haben nein.

 

[mrcube]

Liebe Leute, könnt ihr den Mastercard-Leak bzw. generelle Fragen zu Chargeback etc. bitte im Priceless- oder sonstigem Thread besprechen? Das hat doch mit der Advanzia nun gar nichts zu tun!

 

[tcu99]

Hab mir mal mit der Advanzia Mastercard 200€ bei Aldi an der Kasse abgehoben.
Man sollte bedenken, dass man dann die PIN benötigt.
Zinsen fallen wohl laut Advanzia Telefonhotline keine an, da die Transaktion als normaler Einkauf gewertet wird/wurde.

Vielleicht gut zu wissen, wenn man doch mal kleinere Mengen Bargeld irgendwo braucht und keine Lust auf direktes Überweisen hat.

 

[simonks257]

Habe heute meine Pin der Advanzia Karte erfolgreich an einem ATM der Euronet-Gruppe auf Malta geändert.

 

[unregistered]

Die veröffentlichte Liste enthielt doch überhaupt keine Passwörter. Woraus schließt du, dass Mastercard diese überhaupt gespeichert hatte?

Also erstens mal: Wenn Mastercard das Passwort nicht irgendwie gespeichert hätte, würde der Login nicht gehen.
Zweitens habe ich nie behauptet, die Passwörter wären geleakt. Das müssen sie gar nicht. Nochmal ganz langsam:
Man nimmt die E-Mail Adresse des Mastercards-Leaks, denn die ist bekannt. Diese wird dann mit Passwort-Leaks wie Combolist gematcht. Haben Nutzer bei Priceless z.B. das gleiche oder artverwandte Passwörter wie z.b. bei Dropbox, Adobe, MoneyBookers usw. benutzt, braucht man das Mastercard-Passwort ja eben gerade nicht. Und genau das ist garantiert passiert. Das dauert ein paar Sekunden und schon hast du die Liste inklusive funktionierender Passwörter.
Sehr wenigen Nutzern von geleakten Passwörtern oder teils auch gebrute-forcten Passwortkombinationen ist überhaupt bewusst, dass ihre E-Mail Adresse mit diesen Passwortkombinationen für genau solche Fälle im Netz kursieren. Die so gewonnenen Zugänge sind dann natürlich keine vollen 90.000, aber ein paar hundert oder tausend kommen da garantiert dabei raus. Und dann nimmt man sich schön die generierten TUI-Gutscheine mit.

Habe heute meine Pin der Advanzia Karte erfolgreich an einem ATM der Euronet-Gruppe auf Malta geändert.

Um wieder on-topic zu sein: Konnte bisher alle meine Mastercard PINs bis auf Fidor bei der Ersten Bank in Österreich ändern lassen.

 

[ReiseFrosch]

Habe heute meine Pin der Advanzia Karte erfolgreich an einem ATM der Euronet-Gruppe auf Malta geändert.

In DE? Oder in welchem Land?

 

[daukind]

In DE? Oder in welchem Land?

Ich würde auf Malta tippen

 

[gambrinus]

Also erstens mal: Wenn Mastercard das Passwort nicht irgendwie gespeichert hätte, würde der Login nicht gehen.

Doch. Man speichert nur (gesalzene) Hashwerte, nicht das Passwort.

 

[andreas123]

Also erstens mal: Wenn Mastercard das Passwort nicht irgendwie gespeichert hätte, würde der Login nicht gehen.

Aber selbstverständlich würde der Login gehen. Denn dafür braucht man lediglich einen Hash des Passworts. Passwörter im Klartext zu speichern, ist fahrlässig.

 

[simonks257]

Um wieder on-topic zu sein: Konnte bisher alle meine Mastercard PINs bis auf Fidor bei der Ersten Bank in Österreich ändern lassen.

Danke für den Tipp

Habe bisher alle meine Karten ändern können, außer die DKB. Weißt du zufällig ob dies bei der Ersten funktioniert? Wohne nahe an der Grenze, wäre also kein großer Aufwand für mich

 

[Xer0]

Bekam heute als Drivango-Kunde eine Ersatzkarte wegen Priceless. Briefkopf trägt das Drivango-Logo, Karte ist aber eine neutrale Advanzia. Ist das die „Geschenk“?

 

[unregistered]

Aber selbstverständlich würde der Login gehen. Denn dafür braucht man lediglich einen Hash des Passworts. Passwörter im Klartext zu speichern, ist fahrlässig.

Hältst du mich für bescheuert? Der Threadersteller hat ja auch nicht von Klartext gesprochen. Hashwerte oder eine Form der Encryption müssen aber trotzdem gespeichert werden. Und effektiv ist dies eine Abbildung des Passworts bzw. die Verifizierung desselbigen. Deswegen habe ich auch geschrieben, dass sie das in irgendeiner Form gemacht haben müssen. Welche, darüber können wir aber nur spekulieren. Außerdem heißt auch das noch lange gar nix. Als Dropbox damals seine Datenbank verloren hat waren viele Passwörter mit SHA1 verschlüsselt - und wie gut das die Nutzer geschützt hat, wissen wir heute ja alle. Effektiv geht's aber darum auch gar nicht, es ging um das Matching von geleakten Passwörtern mit vorhandenen Passwort-Listen.

Können wir jetzt zum Topic zurückkehren?

 

[Heath_Beck]

ANZEIGE

Bekam heute als Drivango-Kunde eine Ersatzkarte wegen Priceless. Briefkopf trägt das Drivango-Logo, Karte ist aber eine neutrale Advanzia. Ist das die „Geschenk“? Anhang anzeigen 129795

Ja, meine sieht genauso aus.