Több tízezer ügyfél adatai kerültek ki Németországban (és valószínűleg Belgiumban) a Mastercard hűségprogramjából – írja a Bloomberg. A kártyatársaság augusztus 19-én fedezte fel az adatszivárgást, és haladéktalanul értesítette a német és a belga adatvédelmi hatóságot. Emellett felfüggesztette a platform működését. A kártyatársaság szerint az egyébként Magyarországon is elérhető Priceless Specials nevű hűségplatform üzemeltetőjénél történt valami, és az incidens a kártyás fizetési tranzakciókat nem érintette.

A támadásra úgy derült fény, hogy a felhasználók adatait tartalmazó adatfájl megjelent egy online fórumon. Ez a támadásban érintett felhasználók nevét és emailcímeit, valamint a Mastercard kártyájuk számának két első és négy utolsó tagját tartalmazta. Jó néhány kártyatulajdonosnak azonban emellett a címe és telefonszáma is bekerült az fórumra kirakott adatbázisba. Emellett azt is tartalmazta, hogy az érintettek feliratkoztak-e hírlevélre vagy sms-értesítésre.

Magyarországon is működik a program

A Magyarországon is működő Priceless Specials egy klasszikus pontgyűjtő program, amelyre a Mastercard kártyákat (Mastercard és Maestro) használók regisztrálhatnak. A regisztrálók a bankkártyával történő fizetések után pontokat kapnak, amiket különböző vásárlási kedvezményekre válthatnak be. A regisztrációs során a bankkártya adatai mellett a nevet, a nemet és a születési dátumot is meg kell adni.

Mint a Zeit Online írja, a lista közel 90 ezer személy adatát tartalmazta. A hűségprogram azonban szeparáltan működött a fizetési rendszertől, így az incidens semmilyen módon nem érinti a fizetési rendszert – nyilatkozta a kártyatársaság. Mint a Bloomberghez eljuttatott közleményükben írják, minden lehetséges lépést megtesznek a probléma kivizsgálására és megoldására. Ennek első lépése volt a platform működésének felfüggesztése, emellett az érintett kártyabirtokosokat tájékoztatják, és amennyiben kár érte őket, támogatásra is számíthatnak a cégtől.

Az incidens hátteréről azonban egyelőre nem nyilatkoztak, így nem tudható, hogy egyszerűen a platform üzemeltetője hibázott, vagy a hekkerek célzott támodás során szerezték meg az adatokat.

Remekül hasznosíthatók az ilyen adatok

A német és a belga adatvédelmi hatóság is vizsgálja, hogy ki volt a hunyó az ügyben. David Stevens, a belga adatvédelmi hatóság elnöke azt nyilatkozta a Bloombergnek, hogy az esemény bejelentése óta megszaporodtak a hatósághoz beérkező ügyfélpanaszok. Nem csak a Mastercarddal, hanem Hessen tartomány adatvédelmi hatóságával is felvették a kapcsolatot, hogy közösen vizsgálják ki az adatsértés okait.

A Zeit Online arra hívja fel a figyelmet, hogy a most ellopott adatok egy későbbi, célzott támadásnál jelenthetnek nagy kockázatot. Az adatok birtokában ugyanis könnyű olyan megtévesztő leveleket küldeni az érintette Mastercard-ügyfeleknek, amikkel a támadók valóban érzékeny információkhoz, például fizetési tranzakciókhoz használt jelszavakhoz, PIN-kódokhoz juthatnak.