Zum Ende August sind zwei Dateien mit Kundeninformationen des internationalen Finanzdienstleisters Mastercard aufgetaucht. Neben einer Tabelle mit Datensätzen von zehntausenden Kunden des Bonusprogramms „Priceless-Specials“ von Mastercard, welche Vor- und Zunamen, Geburtsdaten, E-Mail-Adressen und häufig auch Postanschriften und Handynummern enthält, machten Recherchen von heise Security auf eine zweite Textdatei aufmerksam, die aus rund 84.000 vollständigen Kartennummern bestand – allerdings ohne zusätzliche Informationen wie Karteninhaber, Ablaufdatum oder Prüfnummern (CVC), die eine missbräuchliche Nutzung der Daten problemlos ermöglichen würden. Ob die beiden Dateien echt sind und womöglich sogar miteinander zusammenhängen, kann nicht hundertprozentig bestätigt werden. Zumindest teilweise wurde von Mastercard-Kunden in verschiedenen Internetforen bestätigt, dass sie ihre eigenen Daten in mindestens einem der beiden Dokumente wiedergefunden hatten.

Um als möglicher Betroffener zu überprüfen, ob eigene Daten in der ersten Tabelle enthalten sind, kann von dem „Identity Leak Checker“ des Hasso-Plattner-Instituts (HPI) Gebrauch gemacht werden. Dieser Online-Service vergleicht dort eingegebene E-Mail-Adressen von Mastercard-Kunden mit der HPI-Datenbank, zu welcher Daten aus dem Leak hinzugefügt wurden. Nach Eingabe und Überprüfung seitens des HPI wird eine E-Mail mit dem Ergebnis an den potentiell Betroffenen abgeschickt.

Nach Bekanntgabe des ersten Leaks hat Mastercard das Bonusprogramm „Priceless Specials“ umgehend gesperrt und versichert, weitere Maßnahmen in Gang gesetzt zu haben. Zu diesen Maßnahmen gehört zum Beispiel die aktive Kommunikation mit registrierten Nutzern. Zudem schob Mastercard dieses Debakel an einen Drittanbieter. Um welchen es sich dabei handelt, gab Mastercard nicht bekannt. Inzwischen bestätigte Mastercard, dass durch den Datenvorfall keine hochsensiblen Daten wie Anmeldedaten, Passwörter oder CVCs offengelegt wurden.