Priceless Specials

[PMc]

ANZEIGE

Nicht mehr und weniger ist Identitätsdiebstahl. Du magst dich an der Begrifflichkeit stören, aber für viele Menschen ist das geschilderte Szenario nicht so stressfrei, wie du das darstellst.

Das ganze ist recht unlustig. Konkretes Beispiel, frisch erlebt:

Mein Telefonanschluss (und Internet) war fast eine Woche lang (konkret: bis gestern) abgeklemmt. Die Ursache war, dass die Telekom einen Tarifwechsel (mit Änderung des technischen Protokolls) durchführte, den ich angeblich telefonisch beauftragt hätte, aber tatsächlich keineswegs beauftragt hab. Zur Erklärung hat man mir gesagt, dass es schon mal vorkommt, dass Telekom-Mitarbeiter so einen Auftrag einfach erfinden, weil sie dafür Provision kriegen - ich müsse den Auftrag halt jetzt stornieren, und dann dauert es ungefähr eine Woche bis das Telefon wieder geht.

Mit den Daten, die jetzt publik sind, kann nun wahrscheinlich jeder Mensch, der mich aus irgendwelchen Gründen grad mal nicht mag, mich für eine Woche von jedweder Infra abklemmen. Welche Konsequenzen soetwas hat, mag jeder für sich selber abschätzen.

 

[Yuwoex]

Sorry, aber das ist doch Quatsch. Nichtkenntnis vom Leak schützt mich doch viel eher vor Mithaftung als der Beweis, dass ich Bescheid wußte und dennoch die Karten nicht habe sperren lassen.

Ich will z.B. meine Karten (noch) nicht sperren lassen, weil ich sie im Urlaub brauche und weil kleinere Beträge (Google G-Suit, Apple Cloud) regelmäßig abgebucht werden. Mastercard muss bei Missbrauch haften, nicht ich. Der Missbrauch ist ja nun leicht nachweisbar. Und ohnehin sind Online-Zahlungen (Mail-Order) mit dem Risiko des Zahlungsausfalles für den Händler behaftet. Mitnichten muss der Karteninhaber beweisen, dass er seine Kartennummer nicht eingesetzt hat.

Die grobe Fahrlässigkeit deinerseits aber auch...

 

[PMc]

Nachdem wir von der Veroffentlichung der Daten im Internet erfahren hatten,
haben wir den Vorfall umgehend untersucht. Wir uberwachen fortlaufend, ob die
Daten an anderer Stelle im Internet veroffentlicht werden, und wenn ja, werden
wir alles tun, um sie zu entfernen.

Was für ein ausgemachter S...dreck! Diese Daten sind IN THE OPEN, und niemand und nichts kann die ausgedrückte Zahnpasta in die Tube zurückstopfen, solange wir leben!

Was jetzt wichtig ist, ist, diese Daten auf einen öffentlichen Server zu packen, damit jeder jederzeit sehen kann, dass sie bekannt sind, und niemand mehr ernstlich behaupten kann, sie könnten zu irgendwelcher Identifizierung brauchbar sein. Nur so kann man mit diesen Dingen umgehen, denn rückgängig machen lassen sie sich nicht. Nie mehr.

 

[Snappy]

Da die Daten öffentlich sind, könnte ich mir auch vorstellen, dass es Unternehmen gibt die nun bei Bestellungen mit diesen Namen / Geburtstagen / Adressen besonders vorsichtig werden. Oder zum Beispiel auch nicht mehr nach Nennung dieser Daten eine Anfrage telefonisch beantworten und man einen umständlicheren Weg gehen muss.

Und selbst wenn man seine Kreditkarte nicht sperrt - im Prinzip kann das nun jeder andere Spaßvogel für einen erledigen, am besten wenn man die Karte gerade dringend braucht.

Für die Zukunft würde ich mir eine erweiterte Sicherheitsprüfung bei allen Kreditkarten wünschen. Zum Beispiel das man Online-Bestellungen von Waren nur an eine bestimmte Adresse freigeben kann.

 

[wizzard]

Na dann erkläre mal, der Du ja so viel schlauer bist, was Mastercard unter einem "Dienst zur Bonitätsüberwachung" versteht! Glaubst Du ernsthaft, dass das etwas ist, was die Betroffenen zusätzlich vor irgendwelchen Schäden schützt? Den Schaden weitestgehend zu begrenzen ist auch ohne Deine Teilnahme an dem "Programm" Pflicht von Mastercard und in deren eigenem Interesse, um sich vor weitergehenden Schadenersatzansprüchen zu schützen. Das "Angebot" ist nichts als eine Nebelgranate, reine Kundenverschaukelung! Wer das ernst nimmt, ist naiv!

Auch vorher schon prüfte jedes Kreditkartenunternehmen, ob Abbuchungen plausibel sind. Wenn du eben noch in Deutschland Geld mit der Karte abgehoben hast, aber 30 Minuten später jemand das mit Deiner Karte in Kapstadt auch versucht, fällt das als unplausibel auch bisher schon auf und wird verhindert. Und dass Du Deinen Kreditrahmen bzw. Dein Guthaben nicht überziehen kannst, wäre auch keine neue Bonitätsüberwachung.

Also los, erzähl mal, was das sein soll! Wer andere als blöd hinstellt, sollte schon mehr zu sagen haben!

Wenn du nicht weißt, was mit Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl gemeint ist und welcher Service in dem Zusammenhang erbracht wird, informiere dich doch einfach, bevor du rumblökst. Google kennst du, oder?

 

[geniongroup]

Wenn du nicht weißt, was mit Dienst zur Bonitätsüberwachung und zum Schutz vor Identitätsdiebstahl gemeint ist und welcher Service in dem Zusammenhang erbracht wird, informiere dich doch einfach, bevor du rumblökst. Google kennst du, oder?

Wer erbringt diesen Dienst zur Bonitätsüberwachung? Offensichtlich hast du hier weitergehende Informationen von MasterCard über die genaue Funktionsweise und möchtest diese mit uns teilen.

 

[wizzard]

Ich brauche das nicht, weil ich es schon habe, lebenslang und kostenlos, aber neben meineSCHUFA plus gibt es auch noch andere Anbieter und irgend einer von denen wird es wohl sein. Wenn es interessiert, der kann ja hinschreiben und wird sicher weitere Informationen dazu bekommen.

 

[Thomas_B]

Ist wieder das gleiche wie damals bei Marriott, typisch US Konzern - nicht mal entschuldigen.

Anspruch bei EuGD (https://eugd.org/schadenersatz/mastercard-priceless/) geclaimed, mal sehen was raus kommt. Aber für 2 Minuten Aufwand macht man Mastercard wenigstens etwas Arbeit und sieht vielleicht sogar noch Geld für den immateriellen Schaden. Datenschutz: Der Schadensersatzanspruch nach Art. 82 DSGVO | Juraexamen.info

 

[hopstore]

Würdet ihr nur die Karte austauschen lassen, die in der Liste war, oder auch eine weitere die bei Mastercard als weitere zweite Karte mit auf dem selben Account registriert war?

 

[Airwalk]

Würdet ihr nur die Karte austauschen lassen, die in der Liste war, oder auch eine weitere die bei Mastercard als weitere zweite Karte mit auf dem selben Account registriert war?

Wenn Du schon tauscht: Alle Karten, die bei Priceless Specials registriert waren, sind sicherlich kompromitiert ... alle anderen Karten sollten "sicher" sein.

Die Frage, die sich natürlich stellt:

Wie bekam der Dienstanbieter die Infos über die Zahlungsvorgänge - um dann die Coins gutzuschreiben? Ist die Schnittstelle evtl. auch kompromitiert? Damit hätten die Hacker natürlich Zugriff auf alle Kontobewegungen der Kreditkarten ... und es würden sich ungeahnte Möglichkeiten des Phishings ergeben (korrekte Beträge und Händlernamen, etc.) ...

Hoffen wir einfach mal, das Mastercard das auch auf dem Schirm hat ...

 

[Devilfish90]

Würde mir da bei einer deutschen Datenschutzbehörde wenig Hoffnung machen, dass das Strafvolumen ausgereizt wird.

Meiner Meinung nach den Höchstsatz, wenn die schon Daten unverschlüsselt speichern, Kunden zu spät informieren und auch die Meldung an die zuständige Behörde verpennen...

Die einschlägige Vorschrift zur Bestimmung der Höhe des Bußgeldes lautet im für Mastercard besten Fall:

"... Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist ..."

90.000 Kunden sind absolut eine unerhebliche Anzahl, da kommt es nicht darauf an, dass man in anderen Geschäftsbereichen deutlich mehr Kunden hat. Dazu kommt, dass Mastercard offenbar bis dato (mindestens 48 Stunden nachdem sie vom Leak wussten) keinen Kunden benachrichtigt hat, von einer Meldung an die Aufsichtsbehörde mal ganz zu schweigen. Das dürften in einem Bußgeldverfahren eher strafschärfende Aspekte darstellen.

 

[Yuwoex]

Würdet ihr nur die Karte austauschen lassen, die in der Liste war, oder auch eine weitere die bei Mastercard als weitere zweite Karte mit auf dem selben Account registriert war?

Wir würden schon seit Montag Abend alle getauscht haben.

 

[wizzard]

Würdet ihr nur die Karte austauschen lassen, die in der Liste war, oder auch eine weitere die bei Mastercard als weitere zweite Karte mit auf dem selben Account registriert war?

Ich wiederum würde den Austausch meinem kartenausgebenden Institut überlassem. Wenn die einen Austausch als notwendig erachten, okay, dann sollen sie ihn vornehmen, sonst nicht.

 

[nira]

Miles&More tauscht gratis KK um

 

[Olaf Berlin]

Ich wiederum würde den Austausch meinem kartenausgebenden Institut überlassem. Wenn die einen Austausch als notwendig erachten, okay, dann sollen sie ihn vornehmen, sonst nicht.

Das habe ich mir auch gerade so gedacht, laut der Mail wurden meine Institute ja informiert, ergo sollen die beurteilen ob ein Austausch notwendig ist. Ich werde die Mail von Mastercard archivieren und erst mal abwarten.

 

[shg.web]

Würdet ihr nur die Karte austauschen lassen, die in der Liste war, oder auch eine weitere die bei Mastercard als weitere zweite Karte mit auf dem selben Account registriert war?

da bin ich mir selber nicht so sicher.
Ich habe auf alle Fälle mein Haupt-Krdditkarte sperren und tauschen lassen.
Bei den anderen Karten wie FIDOR ODER IKANO bin ich mir nicht so sicher, weil ich sie kaum nutze - waren aber da registriert.

 

[wizzard]

Miles&More tauscht gratis KK um

Alle tauschen gratis um, wenn ich sage, dass ich die Karte verloren habe, aber das ist gar nicht das Thema. Denn M&M bzw. DKB nimmt mir nicht die Arbeit ab, die ich mit einer neuen Karte habe. Also mache ich gar nichts, solange ich nicht muss.

 

[Olaf Berlin]

Habe gerade mal bei N26 angefragt ob eine Austausch nötig. Der Mitarbeiter versicherte mir, dass meine Karteninformation sicher sind. Wie man mir das in dieser Situation versichern kann, finde ich ja nun doch etwas fragwürdig.

 

[espresso]

Die Sparda-Bank Hessen weigert sich die Karte kostenlos zu tauschen.

 

[kmak]

Es ist schon komisch, dass MC schreibt, dass das Passwort nicht abgefischt worden sei, wo sie doch davon ausgehen müssen, dass die Daten ihrer Plattform vollständig kompromittiert worden sind.

Auch wenn der Dienstleister seine Unfähigkeit bewiesen hat - das er Passwörter im Klartext speichert ist sehr sehr unwahrscheinllich. Das macht nun wirklich keiner mehr.

Hier zum Verleich noch ein deulich größeres Leck, bei dem die Verantwortlichen mit weniger als $3 pro Kunde davon gekommen sind. Und das im Land der unbegrenzten Schadensersatzzahlungen...

https://krebsonsecurity.com/2019/07/what-you-should-know-about-the-equifax-data-breach-settlement/

 

[wizzard]

Die Sparda-Bank Hessen weigert sich die Karte kostenlos zu tauschen.

Dann sage ihnen, dass du sie verloren hast und wenn sie dir dafür etwas berechnen, verweise auf BGH Urteil, XI ZR 166/14, dann sollten sie dir das Geld wieder gut schreiben. Wenn nicht, Ombudsmanverfahren.

 

[FlyC]

An diejenigen, die hier nach Schadensersatz rufen:

Habt ihr aktuell einen Schaden?

Nein? Dann vergesst es gleich wieder!

 

[peter42]

Ich finde den Verweis auf den pöhsen Drittanbieter auch ein wenig lächerlich.
Ja, es ist ein Drittanbieter und ja, der ist absolut unfähig und hat hier einen riesen Bockmist abgeliefert, aber letztendlich waren es die Leute bei Mastercard selbst, die sich diesen Anbieter ausgesucht und diesen mit der Betreuung des Bonusprogramms beauftragt haben.

Das ist Auftragsdatenverarbeitung und natürlich MC zuzurechnen.

 

[peter42]

Hier geht es nicht um Moral.. Sondern um Haftungsangelegenheiten. Und ich bin sicher, dass man die Weitergabe der Daten bei Registrierung bewilligt hat. Was nach Datenweitergabe damit passiert, dürfte Mastercard fein raus sein.

Nein ist normale ADV, daher ist primär MC in der Verantwortung:
"Wer haftet bei Datenschutzverstößen?

Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in Art. 82 DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten"

 

[mrcube]

ANZEIGE

Mal was Praktisches, vermutliche haben es ja viele schon gemacht: Ist es sinnvoll nun selbst auch noch den Landesdatenschutzbeauftragten von Hessen anzuschreiben/Beschwerde einzulegen? (Bei meinem LDA habe ich schon vor einigen Tagen Beschwerde eingelegt, aber das ist ja nicht direkt zuständig für MC & ich weiß nicht, ob die die Länderkollegen informieren oder sich in Brandenburg überhaupt jemals rühren werden, das ist ein sehr beschaulicher Verein). Dass MC sich mit den billigen Nummer: Die anderen sind schuld aus der Affäre ziehen will, ist zwar normal, aber gefällt mir gar nicht.