Durch mehrere Nutzer wurde Wortfilter auf ein Datenleak im Zusammenhang mit einem Mastercard-Bonusprogramm hingewiesen. 89.400 deutsche Kundendaten wurden geleakt. Die Datei ist offen im Netz abrufbar. Betroffen sind Kunden die sich bei Mastercard Priceless Specials angemeldet haben. Betroffene sollten sich mit Mastercard in Verbindung setzen.
Diskussion in vielen Foren
Die Zahl der Betroffenen scheint groß zu sein, denn in vielen Foren äußern sich bereits besorgte Mastercard-Kunden. Der Customer Service des Kartenanbieters ist derzeit auf überlastet. Es ist kein Durchkommen in der Kunden-Hotline.
Konsequenzen können böse sein
Die Daten sind brisant, denn neben der Rufnummer, Anschrift, der Mailadresse sind auch das Geburtsdatum in der CSV-Datei zu finden. Damit ließe sich also sehr viel Unfug treiben.
Wie geht es weiter?
Spannend wird sein zu beobachten wie das Unternehmen nun reagiert und mögliche Schäden reguliert. Während der Recherche zu diesem Artikel wurde das Programm gesperrt. Jedoch können sich angemeldete Nutzer immer noch einloggen. Ein Kunde kommentierte:
Ob und in weit es sich um reale Daten handelt kann leider nicht überprüft werden. Jedoch solltet ihr prüfen, ob eure Daten in der CSV aufgelistet sind.
Credit: David Schirrmacher und Kevin aus der von Floerke Community.
UPDATE
Wortfilter ist wegen der Veröffentlichung des Links zu den geleakten Daten in Kritik geraten. Juristisch war die Veröffentlichung, nach Prüfung durch den auf Medien Themen spezialisierten Anwalt Falco Henkel, in Ordnung. Trotzdem wurde von vielen Nutzern die Frage nach der gelebten Verantwortung zu Recht gestellt.
Mit ein Grund der Veröffentlichung war, dass sich die Betroffenen informieren und gegen die Plattform ihre Rechte wahrnehmen können. Das können sie natürlich nur, wenn sie wissen WO die Daten gespeichert sind. File Dropper hat heute (20. Aug. 2019) gegen Nachmittag die Daten gelöscht. Damit ist ein Ziel erreicht. Der Screenshot ist nun auch verfälscht, so dass keine Daten mehr erkennbar sind.
5
hat hier wer noch den datensatz ? und könnte ggf was für mich checken oder
mir einen link schicken ?
HTML5 sorgt dafür, dass das Bild weiterhin unzensiert verfügbar ist:
https://wortfilter.de/wp-content/uploads/2019/08/kredikarten-daten-4-1024×449.jpg
Die URL wurde öffentlich archiviert.
Man sollte das dann auch richtig entfernen.
Da hast du recht, danke für den Hinweis. Sollte nun erl. sein
Man kann immernoch auf das BIld zugreifen
…Cache geleert?
Geht noch.
https://wortfilter.de/wp-content/uploads/2019/08/kredikarten-daten-4-1024×449.jpg
…danke für den Hinweis, sollte gleich entfernt sein.
Wo ist denn nun der Link zur neuen Daten mit den kompletten Kreditkartennummern? (frage für einen Freund )
…ja wo ist er bloß 😉
Nach Ihrer Logik hätten sie heute auch noch die zweite aufgetauchte Datei (zum Abgleich) mit den kompletten Kreditkartennummern mit dieser Seite verlinken können, “damit sich die Betroffenen informieren und gegen die Plattform ihre Rechte wahrnehmen können”…
…genau so ist es möglich. Aber wo genau liegt denn dann der Fehler?
Für das verbreiten meiner personenbezogenen Daten ist die Anzeige raus. Und Sie bekommen Post mit der Schadenersatzforderung. Keine Angst: IHr Anwalt hat sicher eine Berufshaftpflicht in geeigneter Höhe für die Falschberatung.
Hahaha…..
gelacht wird immer erst zum Schluß
ja ja 😉
Genauso handhabe ich es auch. Der Anwalt meines Vertrauens hat mich hier exzellent beraten, so dass diese illegale Verbreitung von personenbezogenen Daten hier auch nicht unerhebliche Konsequenzen haben wird.
…oh Hobbyjuristen. Hm, habe übrigens noch keine Post erhalten. Mail kaputt, Post leert bei dir den Briefkasten nicht? Hmmm….
Schade, auf die wirklich entscheidende und wichtige Frage, keine Antwort.
Das wäre welche?
Strafanzeige gegen Unbekannt und wortfilter sind raus, Karte ist gesperrt. Die Kartenaustauschgebühr fordere ich von Mastercard zurück. Sollten alle Betroffenen machen.
Wird es für die Leute, die die Liste hier heruntergeladen haben, um nachzusehen ob sie betroffen sind, jetzt rechtliche Konsequenzen geben?
Du hast die Daten nicht auf Wortfilter runtergeladen, sondern auf der Quelle, s. Link. Und wenn du sie Rrechtskonform verwendest ist auch nicht strafbar.
Zwiespaeltige Gefuehle.
Als Betroffener konnte ich zumindest meine Daten checken – da sind, ausser meinem Geburtsdatum, zum Glueck keine wichtigen Informationen – mit der ge-x-ten Nummer kann man ohne CVV nicht wirklich etwas anfangen, die anderen Daten sind durch Impressum und Kundenkontakt-Emails hunderttausend-fach im “Umlauf”.
Gab uebrigens bis jetzt keinerlei Infos von PS oder MC, geschweige denn meiner Bank. Ich dachte, es gaebe so etwas wie eine Informationspflicht fuer Betroffene…
Interessant uebrgens, dass ich beim letzten Login vor ein paar Wochen eine erweitere Authentifizierung vornehmen sollte – das war frueher nicht so. Darauf habe ich dann verzichtet (zum Glueck?)
…dieser Link scheint aber auch nur die Spitze des Eisbergs zu sein. Es sind auch die Daten ohne ‘xxx’ im Umlauf.
Wäre Mastercard nicht verpflichtet Kunden, deren Daten auf der Liste sind, zeitnah über das Datenleck zu informieren?
Was Mastercard tatsächlich unternimmt und was Mastercard kommuniziert können zwei verschiedene paar Schuhe sein. Wir wissen es nicht.
und als Betroffener komme ich jetzt wo noch an die Liste um zu prüfen welche Daten alles enthalten sind (z.B. auch ob mehrere)
In der Praxis interessiert mich der Leak null, jedoch provoziert mich dein Gesicht so extrem, dass ich richtig bock darauf habe gegen diesen Schmutz-Blog hier vorzugehen. Ich hoffe bei der im Impressum angegebenen Adresse existiert ein für Wortfilter eingerichtetes Postfach mit Kennzeichnung, ansonsten gibt es hier eine zweite lustige Ordnungswidrigkeit. Vielleicht schaffe ich es ja dadurch die äußerst anziehende Frau Kneller-Gronen persönlich zu treffen. 👅 💦
*hahaha* & *mimimi*
Steile These, dass die Illustration des Artikels oder die Verlinkung der Datenquelle für irgendwas notwendig und in irgendeiner Art gerechtfertigt wäre. Die Verlinkung des Leak-Checkers vom HPI hätte genau das ermöglicht.
Nein, eigentlich ganz einfach. Du musst die Linkquelle als betroffener kennen damit du gegen die Datenveröffentlichung vorgehen kannst. Tools wie HPI helfen dir da nicht weiter und sind per se nur sehr eingeschränkt für Betroffene zu benutzen.
Das ist irrelevant weil es bereits mehrfach geklont, gespielt und an weiteren hochgeladen wurde. Der eine Link ist da unwichtig und die Löschung davon kein Ziel.
Soweit mir bekannt ist weißt du wie es in entsprechenden Untergrund-Foren läuft.
Das ist irrelevant weil es bereits mehrfach geklont, gespieelt und an weiteren Stellen hochgeladen wurde. Der eine Link ist da unwichtig und die Löschung davon kein Ziel.
Soweit mir bekannt ist weißt du wie es in entsprechenden Untergrund-Foren läuft.
Im Prinzip hast du die Entscheidung, das kriminelle Verhalten eines anderen zu melden, auf die Betroffenen abgewälzt. Dabei hast du in Kauf genommen, dass du die Privatsphäre der Betroffenen weiter schädigst.
Ob du mit der Veröffentlichung des Links – den Google ohne dein Zutun nicht so einfach “ausgespuckt” hätte – den Betroffenen einen Dienst erwiesen hast wird die Staatsanwaltschaft beurteilen müssen. Ich frage mich was so schwer daran war, einfach den Hörer in die Hand zu nehmen, die Polizei anzurufen und zu sagen “Jungs ihr müsst handeln”. Stattdessen hast du dich entschieden zu sagen “nicht mein Problem”. Es hat Klicks generiert und das Wort Zivilcourage kriegt einen ganz ganz komischen Geschmack wenn man deiner Argumentation folgen will.
Hast du Feenstaub oder eine Glaskugel, dass du weist was ich wo, warum und wann gemacht habe? Gerne noch einmal die Widerholung: Die Veröffentlichung des Links war juristisch geprüft! #hobbyjurist
Ich vermute worin du juristisch deine Rechtfertigung siehst… § 202d StGB besagt ja “[Daten] die NICHT allgemein zugänglich sind” – diese Daten hier waren leider allgemein zugänglich, also ist auch deren Verbreitung nicht zwingend strafbar.
Ich stelle dir auch bewusst keine juristische Frage (weil ich explizit geschrieben habe, dass das der Staatsanwalt beurteilt), sondern eine moralische: War es richtig den konkreten Fokus auf eine Straftat zu lenken wenn die Gefahrenabwehr noch nicht beendet war? Weil das ist dein Alleinstellungsmerkmal in der Sache: Viele wussten um die Existenz und haben darüber berichtet ohne konkreten Verweis. Du hast dich entschieden, dass Portale wie https://sec.hpi.de/ilc/ quasi unnötig Datenabfragen von Betroffenen filtern. Dein Fokus lag auf dem Verweis auf UNgefilterten Zugang zu personenbezogenen Daten. Juristisch spannend (ohne Anspruch auf eine Wertung!), moralisch fragwürdig.
Moralisch ist die Frage nicht eindeutig zu beantworten. Es gibt zwei Meinungen die beide sehr schlüssige Argumente für sich beanspruchen können. Ich habe mich für die eine Seite entschieden und vertrete sie auch aus einer Menge von Gründen. Diese bringe ich aber auch noch einmal in einem gesonderten Artikel. Neben Information für die Betroffenen ging es mir u.a. auch darum, dass die Datenquelle geschlossen wird. Die Lösung des HPI erachte ich als völlig unzureichend.
1.5
UPDATE
Wortfilter ist wegen der Veröffentlichung des Links zu den geleakten Daten in Kritik geraten. Juristisch war die Veröffentlichung, nach Prüfung durch den auf Medien Themen spezialisierten Anwalt Falco Henkel, in Ordnung. Trotzdem wurde von vielen Nutzern die Frage nach der gelebten Verantwortung zu Recht gestellt.
Mit einem Grunde der Veröffentlichung war, dass sich die betroffenen informieren und gegen die Plattform ihre Rechte wahrnehmen können. Das können sie natürlich nur, wenn sie wissen WO die Daten gespeichert sind. File Dropper hat heute (20. Aug. 2019) gegen Nachmittag die Daten gelöscht. Damit ist ein Ziel erreicht. Der Screenshot ist nun auch verfälscht, so dass keine Daten mehr erkennbar sind.
“… dass sich die betroffenen informieren und gegen die Plattform ihre Rechte wahrnehmen können. …”
Wie macht man das? Was hat man als einzelner Betroffener dann davon?
Du kannst dich an die Plattform wenden und verlangen, dass deine Daten nicht veröffentlicht bzw. gelöscht werden. -> https://www.siz.de/de/themenfelder/s-cert.html
Wieso sollte einer verlangen, dass die Daten veröffentlich werden???
#Hobbyjuristen
S-CERT (Sparkasse) hat damit nichts zu run und CERTs (Cyber Emergency Response Team) sind Unterstützung für Hersteller und Betreiber, nicht Nutzer und Endkunden. Da sind BSI und BKA zuständig. Und je nach Land wo es gehostet wird gibt es zB DMCA Takedown Requests die jeder stellen kann.
Die Plattformen reagieren erst wenn es so einen Request gibt oder durch Behörden die Löschung verlangt wird. Wenn man Glück hat löschen die es einfach. Aber es ist eh schon zu spät, das wird schon in entsprechenden Kreisen stark weiterverbreitet.
Du hast aber die Meldung gelesen auf File Dropper?
Um den Leuten mitzuteilen, wo die Daten gespeichert sind, hätte ein Hinweis auf den Dienst als solches gereicht. Und wenn der Nutzer Rechte gegen diese Plattform geltend machen kann, kann er analog die gleichen Rechte gegen jede andere Plattform geltend machen, die konkret und direkt auf die Quelle bei der anderen Plattform verweist.
Hach, diese Hobbyjuristen hier. Was für ein Unfug du da schreibst 🙂 Und nein ein bloßer Hinweis auf File Dropper hätte nicht gereicht. Wie hätten Nutzer denn einen konkreten Claim aufmachen wollen?
Servus
Schon interessant, wie viele Leute sofort im Dreieck springen und mit dem Anzeigen drohen, für nen Drops, der eh schon gelutscht ist.
Jeder der Unfug damit anstellen möchte, hat dies sicher schon getan oder wird dies, unabhängig davon, eh tun.
Ist halt wieder ziemlich deutsch.
Wie dem auch sei. Was mich viel eher interessiert, sind die geixxxxten Kartennummern in der Datei vom Herrn Steier nachträglich verfremdet worden, oder stehen die im original Dokument frei?
Ja, sicher, wer was damit anstellen wollen würde, hat das u.U. schon getan. Auf der anderen Seite aber wird durch die weitreichende Berichterstattung, die ich nach wie vor für kontraproduktiv halte, und ganz besonders durch die direkte Weitergabe des Links zu den betreffenden Daten der eine oder andere u.U. erst auf solche Ideen gebracht.
Inzwischen können Nutzer unter https://sec.hpi.de/ilc/ prüfen lassen, ob sie betroffen sind. Daher sollte der Link hier umgehend entfernt werden.
Die Gauner haben die Liste sowieso,
Wäre eher angebracht sich bei Mastercard zu beschweren.
Hier wird mal wieder gezeigt, was passiert wenn man seine Daten überall abgeben muss.
Warte sowieso auf den Tag an dem Whatsapp Chats geleakt werden, ähnlich wie bei dem Cambridge Analytica Fall.
Das verhält sich hier genauso wie mit dem Falschgeld. Wenn dieses im Umlauf ist und man einen falschen Schein wissentlich weiter verteilt, macht man sich strafbar. Die Liste wurde in Umlauf gebracht, da widerstößt die Erstquelle also gegen den Datenschutz. Jeder der diese Liste nun findet und diese dann auch öffentlich verteilt, verstößt also gegen das Gesetz. Da kann Mark ja mal in der Kanzlei seiner Lebensgefährtin nachfragen, die sollten es wissen.
Da irrst du dich gewaltig. Meine Frau macht kein Medienrecht. Aber in der Tat habe ich es VOR Veröffentlichung prüfen lassen, jedoch von einem Medienrechtler. #hobbyjuristen
Danke für die Infos hier!
Geht den meisten ja wirklich nur ums nachprüfen, ob man betroffen ist.
Good luck an alle Anderen!
Ich hoffe, das Mastercard dennoch Priceless weiterführt. So ein Hack kann halt immer und überall mal passieren! Es reicht ja aus, wenn Mitarbeiter aus der IT Zugriff auf die Tabellen haben.
Danke fürs NICHT entfernen. Konnte mehrere Personen auf ihre Daten in dem Leak hinweisen. Mastercard informiert ja nicht.
Oh, und hier ist ein Rechtschreibfehler:
> Ihr Kommentar wartet auf Modertaion.
Leute, die Daten sind jetzt eh im Internet. So hat man wenigstens die Möglichkeit, zu prüfen, ob man selber auf der Liste steht. Finden wird man die Liste immer irgendwo, wenn der Link hier verschwinden würde dann würds halt ein paar Minuten länger dauern …
Drohungen mit Post vom Anwalt … geh doch Mastercard anzeigen, die haben das schließlich verbockt.
Sofort den Link zur Liste entfernen!
Danke für die Liste, so konnte ich schnell herausfinden, welche Karten ich neu beantragen muss.
An den Admin:
Hör’ nicht auf die User, die möchten, dass du die Liste löschst – sie ist richtig und wichtig!!
Ich wünsche noch einen hervorragenden Abend!
Die Forendiskussionen lassen klar erkennen, dass die kompletten Kundendaten des Priceless-Programms abgeflossen sind. Jeder, der sich dort bis Juni diesen Jahres angemeldet hatte, wird sich dort wiederfinden. Ich fände es daher wünschenswert, wenn Wortfilter den Link zum Download des Datensatzes löschen könnte, damit sich die Daten nicht noch schneller verbreiten, als sie es ohnehin schon tun werden.
Danke für den Link, so konnte ich direkt prüfen ob ich betroffen bin und habe meine Karten deshalb jetzt gesprerrt.
Sehe ich genauso. Jetzt bin ich zwar nicht beruhigt, kann aber nötige Schritte unternehmen.
🙂
Kartenummern sind zensiert daher wertlos
Eine coole Sau. Selber Daten von anderen Verbreiten und seine eigene Anschrift hinter einer Anwaltskanzlei verstecken.
Das ist die Kanzlei meiner Lebensgefährtin😂😂😂 und da habe ich tatsächlich ein Büro😳😳
So etwas ähnliches habe ich mir schon gedacht. Denn ansonsten würde im Impressum die Anschrift der Kanzlei in Köln stehen.
Deswegen denke ich auch, dass das eine Privatadresse ist…
Nein, es ist nicht meine Privatanschrift. Es ist die Anschrift der Kanzlei meiner Lebensgefährtin. Dort habe ich ein Büro.
4.5
Danke für den Post. Die Betrüger haben ja eh die Daten, aber ich will gern sehen ob ich dabei bin. Aber sicherheitshalber solltest du ihn runternehmen.
Direkt erstmal gemeldet bei der Stelle für Datenschutz und Informationsfreiheit Rheinland-Pfalz. Hoffe es gibt ne schöne Abmahnung und ein Bußgeld für dieses sittenwidrige Verhalten Ihrerseits, hoffe auch es finden sich ein paar Kläger. Schade, dass es noch keine Sammelklage gibt in Deutschland.
Irgendwie ist nix passiert. Man seid ihr alle Maulhelden.
@Mark Steier
Mal aus Interesse: Welchen Zweck dient es die persönlichen Daten von 90.000 Menschen hier zu verlinken?
Was denken Sie herr Steier wie man sich fühlt wenn man selbst in der Liste steht?
Hier der Link zur Diskussion die deine Frage beantwortet: https://www.facebook.com/groups/wortfilter/permalink/2308362569283289/
Was soll das denn? Die komplette Liste hier zu veröffentlichen? Das sollte wirklich zur Anzeige gebracht! Überhaupt nicht seriös!
Firma dankt!
Sonst noch alles klar bei dir?
Du verbreitest jetzt echt die gesamten Daten?
Junge,was stimmt nicht in deinem Kopf?
5
heult mal nicht rum ihr schweren fälle, als würde Markt das noch schlimmer machen indem er den Link postet, junge junge junge
Doch, genau das mach er damit … generell finde ich, dass solche Lecks viel zu sehr in der Öffentlichkeit breitgetreten werden.
Du bekommst bald Post vom Anwalt!
Ist das die Erwachsenen Version von ,Ich sag’s sonst meiner Mama‘👀😂😂😂😂
Ich gebe Dir bis 18:50 Uhr um den Link zu den Userdaten zu entfernen, ansonsten zeige ich Dich an. Du bist der erste der ein Impressum hat und die Kundendaten verbreitet.
Na, dann mal los. ich werde den Link nicht entfernen.
Nimm mal den Link und den Screenshot raus du Vogel.
0.5
1
Der Link ist ja immer noch da. Anzeige ist raus!
warum schimpfst du auf MC und verbreitest im Artikel auch noch selbst link und Kundendaten im Bild/Text?
Schön, dass Du hier alles postest, inklusive dem Link zu der Datei!
Um wenigen Betroffenen etwas zu zeigen, soll man es also gleich für alle öffentlich machen?
Mark Steiner ist wohl der größte Depp des Internets.