Priceless Specials

[lacy]

ANZEIGE

Was bei der ganzen "Panik" jetzt untergeht ist die Tatsache, dass PS nach wie vor widerrechtlich Gutscheine von Tui gesperrt hat und das Verschulden, wie von vielen vermutet und von noch mehr in diesem Thread negiert, tatsächlich bei Mastercard liegt.

JETZT würde ich erst recht Druck machen und PS/MC mal Dampf machen, dass a) die Gutscheine b) die Coins und c) eine Entschuldigung an die Kunden folgt.

TUI würde ich auch Dampf machen, dass die sich mit solchen Dilettanten in Sachen Web-Sicherheit einlassen.

Jepp- das geht total unter. Ich werde heute den Medien, die über den Datendiebstahl berichtet haben, auch diesen Aspekt nochmal zusammenfassen. MC habe ich geschrieben, dass ich nach 2 Wochen Anzeige erstatten werden, da jemand den Gutscheincode abgegriffen hat. TUI ist nicht besser, da konnte man ohne Sicherung monatelang Gutscheincodes ausprobieren auf tuigutscheine

 

[lacy]

Schöne Kommentare bei heise:

"Nur so lernen die Kartenheines vielleicht, was "bargeldlos" bedeutet."

"Deswegen mache ich bei Bonusprogrammen nicht mit."

"Mit Bargeld wär das nicht passiert."

Quatsch. Die müssen nur verantwortungsvoll mit den Daten umgehen, das heißt nicht sensible Daten und Arbeiten dazu in 3.Weltstaaten abgeben um 3 Euro 50 zu sparen.
Fehler zugeben und nicht wenn Kunden auf ein Datenleck hinweisen, sich die Schuld gegenseitig zuschieben, usw.
Außerdem habe ich bei Kreditkartengewinnspielen schon einiges gewonnen

 

[Cire]

Guten Morgen,

ich möchte auf einen weiteren Aspekt hinweisen.

Der Dienst muss irgendwie direkt mit dem System der Zahlungsverarbeitung bei MasterCard - schließlich registriert man sich nicht über seine ausgebende Bank - verbunden sein. Denn schließlich wird jede getätigte Zahlung mit einem Point registriert.

Wir wissen noch nicht woher das Leck kommt. Aber wenn sich jemand Zugang zum System verschafft hat, dann halte ich es nicht für ausgeschlossen, dass der Zugang noch weitgehender war. Vielleicht ist dieser Datensatz auch nur eine öffentliche Kostprobe, wie ein Käsewürfel auf einem Zahnstocher. Wer den ganzen Laib will muss zahlen. Irgendwo im Darknet, mit weiteren Daten.
Bis zu einer transparenten Ermittlung ist mein Vertrauen in die Sicherheit von MasterCard jedenfalls dahin. Und die ungelenk formulierte Erklärung von gestern erinnert mich daran (Galgenhumor):

https://youtu.be/nj_DnV0Q7P0

 

[Cire]

Ich krieg die gottverdamte Türe nicht zu. Ich wollte eigentlich schon vor 2 Stunden pennen, musste mir aber als Betroffener nun das ganze Ausmaß dieses Debakels durchlesen... Ich weiß gar nicht, wo ich anfangen soll. Es gab doch schon vor Wochen erste Anzeichen, dass bei Mastercard etwas gehörig schief läuft und womöglich Daten abgeflossen sind. Soweit ich mich recht entsinne, hieß es seitens MC nur "Nö, hier ist alles in ordnung, das muss an euch liegen". Na klar, erstmal jegliche Schuld von sich weisen. Würde mich nicht wundern, wenn MC seit Wochen versuch, das ganze zu verschleiern. Wäre diese Liste nicht aufgetaucht, wer weiß, wann die Öffentlichkeit von dem Vorfall erfahren hätte.
Die olle Kreditkarte ist mir dabei wurscht, die lässt sich sperren und dann hat sich das erledigt. Aber dass persönliche Daten samt Geburtsdatum abgeflossen sind... Will mir gar nicht ausmalen, welch Unfug man damit anstellen könnte. Das Geburtsdatum wird ja oft als erste Verifizierung der Person genutzt

Ist wohl Zeit, diese neu eingeführte Musterfestellungsklage tatsächlich mal zu nutzen, glaub neben die gegen VW wäre das hier nun die zweite.

Da die amerikanische class action hierzulande von obrigkeitsorientierten Politikern aller Lager unisono als 'wir wollen keine amerikanischen Verhältnisse' abgekanzelt wurde ist die MFK hier nichts wert.

Wir bräuchten class action und punitive damages. Hierzulande darf ja nur die Staatskasse von Geldstrafen profitieren, nicht die Betroffenen.

Mein Name, mein Wohnort und mein Geburtsdatum sind jetzt in einer Liste, gemeinsam mit meiner E-Mail-Adresse. Ich weiss nicht mehr wo ich mich in den letzten 20 Jahren registriert habe, stets mit sicheren Passwörtern zwar. Aber mit Name, Wohnort, Geburtsdatum und social engineering lässt sich einiger Unfug zu meinem Schaden treiben. Und zwar solange ich lebe. Denn ich wohne in keiner Studentenbutze, sondern in meinem Häuschen, in dem ich einmal alt werden will. Ich ziehe nicht mehr um. Und da zB selbst Banken mitunter bei telefonischen Anfragen nur mit Abfrage von Name, Wohnort und Geburtsdatum verifizieren ist das tatsächlich ein Skandal was hier passiert ist. Ich kann meine Personalien genauso wenig ändern wie meinen Fingerabdruck.

Und nur nebenbei, die Kreditkartennummer enthält die Information darüber von welcher Bank man seine MasterCard bekommen hat. Der Aufbau einer Kartennummer ist dahingehend immer gleich..Wer eure Katennummer hat kann also leicht herausfinden wer eure Karte herausgegeben hat. Und dazu hat er ja noch alle Angaben die er für social engineering braucht.

 

[Airwalk]

Wenn man sich ansieht, was die Firma Brain-Behind da für Mastercard programmiert (lassen) hat ... sträuben sich einem die Nackenhaare. Ich hoffe nur, das in Österreich/UK die Gesetze und entsprechenden Strafen empfindlich hoch sind für Datenschutzvergehen ...

 

[Snappy]

Jepp- das geht total unter. Ich werde heute den Medien, die über den Datendiebstahl berichtet haben, auch diesen Aspekt nochmal zusammenfassen. MC habe ich geschrieben, dass ich nach 2 Wochen Anzeige erstatten werden, da jemand den Gutscheincode abgegriffen hat. TUI ist nicht besser, da konnte man ohne Sicherung monatelang Gutscheincodes ausprobieren auf tuigutscheine

Meiner Meinung nach lief es so ab:

1. irgendjemand klaut irgendwann Daten (sowohl Stammdaten als auch Gutscheindaten)

2. Kundenbeschwerden häufen sich das Gutscheine bereits eingelöst waren, Priceless bekommt langsam mit das da was passiert sein muss

3. Jedem Kunden neue Gutscheine zu schicken würde wohl über eine Million Euro zusätzlich kosten. Also sucht man eine Möglichkeit sich abzusichern und findet den angeblichen AGB Verstoß um quasi nachträglich die Punkte abzuerkennen und somit auch das Recht auf den (Ersatz)gutschein. Hätte Priceless wirklich was gegen Amazonaufladungen gehabt, wäre das schon Monate vorher passiert.

4. Da nach den ersten Berichten nun jeder seine Gutscheine prüft und schnell einlösen will, kommt das ganze Ausmaß ans Tageslicht und um weiteren Schaden abzuwenden werden vorsorglich alle Gutscheine gesperrt - natürlich ohne den Kunden zu informieren.

 

[IvanoBalic]

@Sherlock Snappy: Jetzt musst du nur noch die Liste der Kundendaten irgendwo in deinen Fall einbauen...

Vielleicht so:
5. Die MasterCard-Europe-Zentrale in Belgien kriegt von dem Gutschein-Schlamassel Kenntnis und feuert den Verantwortlichen für die Aktion. Dieser lässt an seinem letzten Arbeitstag noch schnell einen Datenstick mit einer 14 MB-Datei mitgehen und stellt diesen, als Racheakt, ins Internet.

Das geht aber noch deutlich klamaukiger... Der Fantasie sind keine Grenzen gesetzt.

 

[globetrotter11]

Stufe 0 wurde vergessen:

0. Maximal Maximierer generieren durch automatische Zahlung von Minibeträgen Unmengen an Coins und zwingen Priceless zum Handeln

 

[Cire]

PS: ich habe jetzt Beschwerde beim Datenschutzbeauftragten des Freistaat Bayern eingelegt und alle, auch hier im Forum diskutierten, Umstände geschildert.
Nun geht es seinen offiziellen Gang. Seit der DSGVO kann das richtig teuer für MasterCard werden. Ich kann nur jeden ermuntern auch Beschwerde beim örtlichen Landesdatenschutzbeauftragten einzulegen.
Ich habe die Deutschland Anschrift von MasterCard in Frankfurt genannt, im europäischen Verbund klären die Datenschutzbehörden das dann untereinander wer letztlich zuständig ist. Holdingstruktur hin oder her, es muss einen juristisch haftbaren Sitz in der EU geben, somit ist MC für die DSGVO und Datenschutzbeauftragten auch greifbar.

 

[mrcube]

Mal eine kurze Rundfrage: Wer sperrt alles seine bei Priceless vorhandenen Karten? Bin am überlegen, die Advanzia tauschen zu lassen, weil es die einzige CC-Karte dort war (die anderen Debit & mit Pushmitteilung, da kann max. 100 EUR flöten gehen ...).

 

[mrcube]

PS: ich habe jetzt Beschwerde beim Datenschutzbeauftragten des Freistaat Bayern eingelegt und alle, auch hier im Forum diskutierten, Umstände geschildert.

Online? Oder direkt per Brief? Ich weiß, es ist etwas dreist, aber falls letzteres: Hast du eine Vorlage? Wäre super, ich werde nämlich in meinem Bundesland auch mal Beschwerde einlegen.

 

[Cire]

Zumindest in Bayern geht das per verschlüsseltem Webformular. Das sollte auch kein Copy n Paste Massenmailing sein. Wenn bei den Aufsichtsbehörden zahlreiche individuelle Beschwerden eingehen sorgt das nämlich sicherlich für größere Aufmerksamkeit als Copy n Paste.

 

[Leseratte10]

Mal eine kurze Rundfrage: Wer sperrt alles seine bei Priceless vorhandenen Karten?

Ich hatte da ne Curve-Karte registriert, ich habe jetzt einfach mal temporär die Karte in der App deaktiviert und ne Mail mit den Details an Curve geschrieben, mit der Nachfrage, ob sie eine Sperre (und Ausstellung einer neuen Karte) für sinnvoll halten.

 

[Bertes]

Ich gehe weiterhin nicht davon aus, dass KK-Nummern in der Priceless-Datenbank gespeichert waren, somit sind auch keine geleakt.

Für die restlichen personenbezogenen Daten darf die DSGVO/GDPR mal zeigen, was sie kann. (Wird zwar ewig dauern, könnte mir aber vorstellen, dass ein Exempel statuiert wird)

 

[mrcube]

So, Beschwerde an den Brandenburger Landesdatenschutzbeauftragten wurde abgeschickt ... . Mal sehen, ob und wann und wie ich Antwort erhalte. Zumindest informieren müsste MC mich ja -- und ob die innerhalb von 72h Meldung an die Aufsichtsbehörden gemacht haben? Ich kann nur hoffen, dass das sehr sehr teuer für den Laden wird.

 

[Leseratte10]

Naja in *dem* einen Datensatz, der geleakt wurde, nicht. Aber irgendwo in diesem Priceless-System garantiert (irgendwie muss das ja zugeordnet werden, oder nicht?), und wenn einer den Kundendatensatz klauen kann dann vielleicht auch den Kartendatensatz ...

EDIT: Ist ja mittlerweile auch passiert ...

Mir solls egal sein, ich habs an Curve gemeldet, sollen die entscheiden ob sie mir ne neue Karte schicken wollen oder nicht.

 

[taxtasy]

Wie komme ich an die Liste `? War gestern offline....!

 

[WeisseBank]

Mal eine kurze Rundfrage: Wer sperrt alles seine bei Priceless vorhandenen Karten?

Ich nicht, solange kein Missbrauch feststellbar ist. Lieber ein Chargeback einleiten, falls tatsächlich etwas passieren sollte, als in Vorfeld möglicherweise unnötig die Pferde scheu zu machen.

 

[Leseratte10]

Muss man nur aufpassen dass es dann nicht von der Bank heißt "warum haben sie das nicht vorher gemeldet, sie wussten doch davon" ...

 

[frogger321]

Wie komme ich an die Liste `? War gestern offline....!

Mal die letzten 50-100 Beiträge lesen.

 

[taxtasy]

Da wurde leider einiges gelöscht und zensiert, ebenso wurde die Liste auf MD offline genommen.

 

[mrcube]

Funfact: Eben bei Advanzia angerufen & Kartentausch veranlasst ... die haben keinen Plan. Was denn Priceless sei usf. Egal, in 1-2 Wochen kommt die Austauschkarte. Mal sehen, was mit den bereits getätigten Umsätzen passiert (Hotelbuchung für nächstes Jahr bereits zB, die schon belastet wurde).

 

[T0b3]

Dort schon....

 

[Bertes]

... Aber irgendwo in diesem Priceless-System garantiert (irgendwie muss das ja zugeordnet werden, oder nicht?), ...

Dreh- und Angelpunkt ist der Wert für "add customer cards". Da JEDER einen Wert hierfür hat (auch wenn er wie ich nur eine MC registriert hat), dürfte das ein Referenzwert für die MC-Karte sein.
Die Frage ist - ist der Wert ein Hash für die KK-Nummer und Gültigkeit? Wenn ja - wie komplex ist die Berechnung und bekommt sie jemand mit vertretbarem Aufwand raus?

Oder ist es wirklich nur ein Verweis und die Referenz dazu ist in anderen (sicheren) Transaktionssystemen von Mastercard hinterlegt. Hierzu mal "PCI DSS Tokenization" im Web suchen, Google Cloud selbst bietet so ein Feature an.

 

[WeisseBank]

ANZEIGE

Muss man nur aufpassen dass es dann nicht von der Bank heißt "warum haben sie das nicht vorher gemeldet, sie wussten doch davon" ...

Auf den Nachweis bin ich gespannt.