ANZEIGE
Tokenization ist aber ja dafür da, ne Abbuchung dann mit diesem Token machen zu können. Ob Mastercard mit so einem Token auch eingehende Kartentransaktionen dann dem Priceless-Konto für die Bonuspunkte zuordnen kann ist ne andere Frage.
Priceless Specials
- Starter*in Droggelbecher
- Datum Start
ANZEIGE
Die wird man wohl immer irgendwo finden können, man muss halt nur etwas suchen.
Das Token wird als Platzhalter genutzt. Es gibt Systeme, die KK-Daten PCIDSS konform verwalten und sich mit CRM/ERP/... verbinden. Im CRM/ERP wird beim Kunden dann der Token hinterlegt. Der Kunde ruft an und bestellt was. Das CRM/ERP unterhält sich mit dem Tokensystem eben nur auf Token-Ebene ("Token 4711 will was für 37,50 EUR kaufen). Das Tokensystem hat die KK-Daten und bucht die Transaktion mit dem Dienstleister (z. B. Wirecard). Weder der Agent noch das CRM/ERP kommen mit KK-Daten "in Berührung", somit nicht von PCI DSS betroffen.
Bei Priceless gehts (vielleicht) dann umgekehrt. Bei der Registrierung bekommt das Priceless-System von MC einen Token ("add card details"). Und dann übergibt MC die Transaktionsdaten jedes Kaufs mit der Token-ID an das Priceless System. Dies ordnet dann die Transaktion (und den Coin) dem User mit dem Token zu.
Wie gesagt - pure Vermutung (und dem Wissen, wie es andere Unternehmen machen). Glaube erstmal nicht, dass MC SO blöd war, die KK-Daten in Klartext oder unsicheren Hashes auf externen Systemen zu speichern.
Was mir jetzt auffällt: Es bestand Zugriff auf die TUI Codes und die persönlichen Daten. Gab es auch Zugriff auf die Transaktionsdetails (die "Coin Übersicht")? Das wäre allerdings dann fast noch schlimmer als die KK-Nummer...
Trotzdem unglaublich, dass Mastercard es nicht einmal hinkriegt, wenigstens diese eine Datei löschen zu lassen. Was für ein Dilettantenhaufen! Ich überlege ernsthaft, alle meine Mastercards zu kündigen und vollständig zu Visa + Amex zu wechseln.
Wie soll MC was löschen, was längst außerhalb der eigenen Server abrufbar ist!
Ich stehe auch drauf.
Sehr ärgerlich.
Aber solange keine KK-Daten geleaked wurden, ist es noch "okay". Stadt, PLZ und Geb-Datum stehen von mir drin.
Sehr ärgerlich.
Aber solange keine KK-Daten geleaked wurden, ist es noch "okay". Stadt, PLZ und Geb-Datum stehen von mir drin.
Ich bin nicht auf der Liste. Da habe ich meinen Account im März wohl noch rechtzeitig geschlossen.
Der Unterschied zwischen "löschen" und "löschen lassen" ist dir entgangen? Selbstverständlich müssen die alles dransetzen, illegal veröffentlichte Kundendaten auf fremden Servern löschen zu lassen. Oder wie lange möchtest du deine Daten auf dem Präsentierteller sehen?
Bei mir stehen in der Spalte "Additional customer cards" zwei 20stellige Zahlenfolgen (getrennt durch ein "|"). Diese beiden Zahlenfolgen stehen sicherlich in irgendeiner Art und Weise für die beiden Karten, die ich hinterlegt hatte. Allerdings stimmen bei beiden Zahlenfolgen jeweils die ersten sechs Stellen überein, obwohl die Karten vollkommen unterschiedliche BINs und Ablaufdaten haben. Ich vermute deswegen, dass sich aus diesen Zahlenfolgen nicht die vollständigen Kartendaten (Kreditkartennummer + Ablaufdatum) herleiten lassen. Das wäre ja schon ein seltsamer Zufall, wenn der Algorithmus bei vollkommen verschiedenen Kartendaten gleich mal die ersten sechs Stellen identisch ergibt.Dreh- und Angelpunkt ist der Wert für "add customer cards". Da JEDER einen Wert hierfür hat (auch wenn er wie ich nur eine MC registriert hat), dürfte das ein Referenzwert für die MC-Kartesein.
Die Frage ist - ist der Wert ein Hash für die KK-Nummer und Gültigkeit? Wenn ja - wie komplex ist die Berechnung und bekommt sie jemand mit vertretbarem Aufwand raus?
Nach meinem laienhaften Verständnis handelt es sich bei den Zahlenfolgen somit wohl doch eher "nur" um einen Verweis auf eine andere Datenbank, in der dann möglicherweise weitere Daten enthalten sind.
C
Cire
Guest
Mit Verlaub, aber eine Kreditkartennummer ist in Sekunden verworfen. Sperre, Ersatzkarte, fertig. Name und Geburtsdatum bleiben dauerhaft und somit das Leak dauerhaft ein Sicherheitsrisiko für dich.
Ich habe das jetzt alles genau dokumentiert und auch deswegen Beschwerde bei der Datenschutzbehörde erhoben, um den Vorgang amtlich zu haben. Wenn dann in der Zukunft plötzlich zB Inkasso anklopft, ich habe auf Rechnungskauf bei Versandhaus X bestellt, verifiziert mit meinem Namen und Geburtsdatum, geliefert an abweichende Lieferadresse, wieso ich denn nicht bezahlen würde, dann bin ich wenigstens vorbereitet den Betrug durch Dritte glaubhaft machen zu können.
Genau deswegen habe ich heute Anzeige bei der Polizei erstattet, um eine Dokumentation des Vorfalls zu erhalten.
Der Beamte hat die Anzeige wegen dem Ausspähen von Daten aufgenommen.
Die BIN steht doch da nicht mal, sind doch nur die ersten beiden Stellen, also nur MII (Major Industry Identifier). Ich habe außerdem 3 MCs in einem Account und nur die erste hinterlegte Karte ist mit MII und den letzten 4 Ziffern hinterlegt - bei mir außerdem eh nur meine Curve, die kann ich ja jederzeit freezen. Schon ein dickes Ei von Mastercard, aber auch imho kein Grund zur Panik. Wer viel sät erntet viel, aber, dass ausgerechnet Mastercard selbst sich so einen Daten-Fauxpass leistet.
Die erste Spalte (mit der "anonymisierten" Kartennummer sind nur die Daten, die auf der Priceless Specials Seite im Mastercard-Icon angezeigt wurden, wenn man sich eingeloggt hatte. Die richtigen Karte
stehen dann als Hash in den Additional Card Information ...Wie aber schon von vielen anderen erwähnt: Schlimmer sind die persönlichen Daten - deshalb sollte man eine Meldung/Beschwerde an den zuständigen Datenschutzbeauftragten schicken. Einige Daten in der Tabelle scheinen auch grundlos worden gespeichert zu sein (da es z.B. anscheinend keinen Abgleich des Geburtsdatums oder Namens gab). Alleine deshalb ist es schon ein gravierender Verstoß gegen die DSGVO ... vom Datenleck mal ganz zu Schweigen ...
Zuletzt bearbeitet:
Name und Geburtsdatum sind keine Verifikation.
In dem Fall kann das Versandhaus sterben gehen, das wissen die auch und werden keine solchen Geschäfte machen.
Mal davon abgesehen dass ja keine Adresse dabei ist, also könnte "das Inkasso" schlecht bei dir anklopfen.
Da kann ich dir diesen vorherigen Beitrag ans Herz legen. (Lass dich nicht von eckigen Klammern verwirren.)
https://www.vielfliegertreff.de/kreditkarten/115363-priceless-specials-65.html#post2970102
Gehst du ernsthaft davon aus, dass da Mastercard nicht bereits dran ist? Dass die Website keinerlei Kontaktinformationen enthält und die Informationen des Inhabers per WhoisGuard geschützt sind (registriert in Panama), könnte das ganze etwas dauern ...
ANZEIGE
![]()
Die erste Spalte (mit der "anonymisierten" Kartennummer sind nur die Daten, die auf der Priceless Specials Seite im Mastercard-Icon angezeigt wurden, wenn man sich eingeloggt hatte. Die richtigen Karte
Ich weiß, glaube aber auch eher, dass das Platzhalter o.ä. sind. Für Hashwerte sind die imho nicht zufällig genug.
Zuletzt bearbeitet: