Ongeveer 90.000 persoonsgegevens van Duitse Mastercard-klanten zijn tijdelijk zichtbaar geweest door een gelekt document met data. Het spreadsheetbestand, dat korte tijd circuleerde op een online forum, bevatte namen en e-mailadressen van gebruikers van Mastercard’s bonusprogramma Pricesless Special. Er zijn bij het gegevenslek voor zover bekend geen data van Nederlandse gebruikers buitgemaakt.
Naast persoonsgegevens als naam en e-mailadres waren ook de eerste twee en de laatste vier nummers van het Mastercard-kaartnummer en in sommige gevallen de adressen en telefoonnummers van de klanten zichtbaar, zo melden bronnen aan Duitse media. Het gelekte document zou 89.400 privacygevoelige gegevens van gebruikers van Mastercard’s bonusprogramma bevatten.
Alleen data van Duitse klanten inzichtelijk
Navraag bij Mastercard leert dat het hier niet gaat om een datalek, een technische fout in het systeem van Mastercard, maar om een buitgemaakt data-document van een van Mastercard’s suppliers. “Wij zijn op de hoogte gebracht van een issue met een leverancier in relatie tot het Specials-platform in Duitsland”, zo laat Mastercard desgevraagd weten. “Dit probleem heeft alleen betrekking op Duitsland.” Volgens ingewijden zijn er dus geen data van Nederlandse gebruikers van het bonusprogramma publiekelijk te zien geweest.
Geen verband met betalingsnetwerk Mastercard
Mastercard laat verder weten dat het platform van het bonusprogramma inmiddels uit voorzorg is gesloten. “We nemen privacy uiterst serieus en we onderzoeken dit probleem onmiddellijk. Uit voorzorg hebben we het Specials-platform onmiddellijk gestopt.” Tegelijkertijd benadrukt Mastercard dat het issue geen invloed op of verbinding heeft gehad met het betaalnetwerk van het bedrijf.
Het grote gevaar van dergelijke publiek beschikbare privacygevoelige data is de mogelijkheid dat criminelen deze persoonsgegevens kunnen gebruiken voor phishing; het opmaken en versturen van e-mails die er bedrieglijk echt uitzien, en uit naam van Mastercard te lijken zijn verstuurd, om wachtwoorden en andere informatie van gebruikers te stelen.
Mastercard lanceerde haar bonusprogramma “Priceless Specials” eind vorig jaar in Duitsland. Ook in Nederland is dit loyalty-systeem beschikbaar. Met het gratis programma sparen gebruikers bonuspunten bij iedere betaling via een Mastercard-credditcard. De spaarpunten kunnen worden ingewisseld voor beloningen.
Update 23-8-2019
Inmiddels meldt het goed ingevoerde Bloomberg dat Mastercard inmiddels formeel de Belgische (waar het Europese hoofdkantoor zetelt) en Duitse privacy-autoriteiten op de hoogte heeft gesteld over het probleem de gelekte data. Net als in Nederland zijn Europese gezetelde bedrijven en organisaties verplicht een datalek officieel te melden.
Mastercard notified Belgian and German data-protection regulators of a data breach https://t.co/lbl2a55VAx
— Bloomberg (@business) August 23, 2019