Mit masterpass hat das Kreditkartenunternehmen MasterCard eine Plattform erschaffen, womit man digital bezahlen kann. Die Bezahllösung hat sich womöglich nun aber in den Mist geritten.
Das sogenannte Cyberwallet – womit man seine Kreditkarte hinterlegen und anschließend in Online-Shops einkaufen kann – namens masterpass wurde 25. Februar 2013 vorgestellt und ist Ende März in einigen Ländern gestartet. Ein Jahr später erfolgte auch der Deutschlandstart des Dienstes. Die Bezahllösung masterpass ist der Nachfolger und eine Weiterentwicklung von Paypass Wallet.
Nachdem man anfangs masterpass nur verwenden konnte, wenn man eine Kreditkarte von MasterCard besaß, wurde die Bezahlösung auch für fremde Kreditkarten – beispielsweise welche von VISA – freigeschaltet. Der Ablauf ist so, dass man seine Online-Bestellung dann mit seinem masterpass-Kundenaccount bezahlen kann – vergleichbar mit PayPal oder auch paydirekt.
Am 08. März 2018 erhielten jedoch registrierte Kunden von masterpass eine E‑Mail, dass der zuvor registrierte Benutzeraccount in ferner Zukunft unwiderruflich gelöscht wird. Man habe an masterpass gearbeitet und eine neue Plattform geschaffen. Aufgrund technische Gegebenheiten könne man jedoch die Kunden nicht auf die neue Plattform portieren – somit muss man sich nach Schließung der alten Plattform auf der neuen Plattform registrieren, wenn man masterpass weiterverwenden möchte.
Bei Masterpass hat sich viel getan: Die digitale Bezahllösung von Mastercard präsentiert sich ab sofort im funktionalen Design und technisch optimiert. Leider können lhre Kundendaten im Zuge dieser Verbesserungon nicht übernommen werden. lhr Masterpass Profil wird daher Ende März 2018 unwiderruflich deaktiviert und alle Daten in Übereinstimmung mit den gesetzlichen Bestimmungen zunächst anonymisiert und dann gelöscht.
Um auch weiterhin sicher, einfach und bequem online zu shoppen, möchten wir Sie bitten, sich emeut zu registrieren. Klicken Sie einfach auf unten stehenden Button, um gleich mit lhrer Registrierung zu starten.
Hier wird suggeriert, dass der vorhandene Benutzeraccount in jedem Fall gelöscht wird. Ganz gleich, ob man sich auf der neuen Plattform registriert oder eben nicht – zunächst anonymisiert (Anm. d. Red.: Transaktionen müssen in der Regel gesetzlich bis zu zehn Jahre aufbewahrt werden) und die restlichen Daten, die keine gesetzliche Aufbewahrungsfristen haben, unwiderruflich gelöscht (Anm. d. Red.: Persönliche Daten wie Mobilfunkrufnummer oder E‑Mail-Adresse).
Hier können nun zwei Szenarien eintreten: Nach Erhalt der E‑Mail vom 08. März 2018 hat der bisherige masterpass-Kunde sich entweder auf der neuen Plattform registriert oder es sein lassen – beispielsweise, weil man in der Zukunft masterpass nicht mehr benutzt/benutzen möchte. Am heutigen Tag hat jedoch etwas „interessantes” stattgefunden, sodass wir das Szenario beschreiben, dass der Kunde sich eben nicht auf der neuen Plattform registriert hat (hatte).
Wie bereits schon geschrieben, werden die Kundendaten auf der alten Plattform Ende März 2018 auf jeden Fall gelöscht. Das heißt, dass die Daten zunächst anonymisiert und „wenig später” gelöscht werden. Jedoch erhielten heute sehr viele solcher Ex-Kunden eine E‑Mail von masterpass, dass sie ihre hinterlegte Kreditkarte in ihrem masterpass-Profil verifizieren müssen.
Hallo,
gute Nachrichten: die Registrierung lhrer neuen Masterpass Zahlkarte war erfolgreich!
Zu lhrer eigenen Sicherheit müssen Sie die zuletzt lhrem Masterpass Profil hinzugefügte Karte noch verifizieren lassen. Melden Sie sich dafür einfach bei lhrem Profil an und wählen dort die mit einem Schlüsselsymbol gekennzeichnete Karte aus. Wählen Sie dann aus dem neben der Karte erscheinenden Menü den Punkt „Karte verifizieren”. Anschließend werden Sie automatisch durch die Verifizierung geleitet. Sobald der Prozess erfolgreich beendet wurde, wird die Karte in lhrem Profil mit dem Status „verifiziert” erscheinen.
Verifizieren Sie lhre Zahlkarte jetzt mit einem Klick auf unten stehenden Button:
KARTE VERIFIZIEREN
Rein logisch betrachtet gibt es hier aber keine Karte zu verifizieren, weil man in der Vergangenheit sich eben nicht auf der neuen Plattform registriert hat. Demnach kann weder ein Profil vorhanden sein, noch seine Kreditkarte oder dergleichen. Obendrauf ist der Button noch mit einem sehr merkwürdigem Link versehen, der Misstrauen herbeiruft:
https://java-stable.upaid.pl:9072/notifications/email/redirect/
Tatsächlich ist die URL aber legitim laut telefonischer Aussage. Unsere Tests ergaben auch, dass man ohne Phishing und/oder ähnlicheres auf die neue Plattform von masterpass weitergeleitet wird. Hier wird vermutlich die URL nur genutzt um zu überwachen, wie viele auf den Button in der E‑Mail angeklickt haben.
Ungeklärt ist aber weiterhin, wieso man die E‑Mail erhalten hat. Unsere Recherchen ergaben, dass diese E‑Mail am heutigen Tage sehr viele Kunden erhalten haben, die zwar auf der alten Plattform registriert sind/waren, aber im Zuge der Umstellung sich nicht auf der neuen Plattform registriert haben. Wir selbst sind auch betroffen. Man hat sich damals auf der alten Plattform von masterpass registriert gehabt, aber im Zuge der Umstellung nicht auf der neue Plattform.
Zu unserem Bedauern mussten wir jedoch feststellen, dass dieselben Login-Daten, die damals auf der alten Plattform in Verwendung war, jedoch auch für die neue Plattform gültig sind. Nach dem Login wurden alle persönlichen Daten angezeigt, die man auf der alten Plattform hinterlegt hatte. Zur Erinnerung: Laut der E‑Mail vom 08. März 2018 sollten diese Daten jedoch gelöscht werden, weil man die Kunden nicht auf die neue Plattform portieren kann. Wie wir aber festgestellt haben, ist es anscheinend doch möglich gewesen. Denn sonst wäre dort die mittlerweile abgelaufene VISA-Kreditkarte nicht hinterlegt, sowie das komplette Kundenprofil samt Mobilfunkrufnummer, Vor- und Nachname und einiges mehr.
Auch das hat einen faden Beigeschmack, denn mit der ersten E‑Mail wurde suggeriert, dass die Daten so oder so in jedem Fall (früher oder später) gelöscht und eben nicht mit auf die neue Plattform portiert werden. Hat man sich auf diese Aussage verlassen, war bis heute der Annahme, dass man sich um eine Löschung seiner Daten nicht mehr drum kümmern muss.
Wir haben die Pressestelle von MasterCard um eine Stellungnahme gebeten. Zeitgleich haben wir beim Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen nachgefragt, ob das Handeln von MasterCard/masterpass in Ordnung war. Wir werden diesen Beitrag fortlaufend aktualisieren.
Update vom 04. Mai 2019 um 07:57 Uhr:
Mittlerweile kam eine weitere, automatische E‑Mail mit dem Betreff „Bitte verifizieren Sie Ihre bei Masterpass hinterlegte Karte” von Masterpass. Dort wird etwas weiter ausgeführt, wieso man solch eine Mail erhält. Eine Rückmeldung seitens MasterCard an uns zwecks der Anfrage von uns vom 29. April steht bisher noch aus.
Liebe/r Masterpass-Nutzer/in,
Sie haben vor kurzem bereits eine E‑Mail zur Verifizierung Ihrer bei Masterpass™ hinterlegten Karte erhalten. Dies ist eine Vorgabe des Gesetzgebers zur Umsetzung der EU-Zahlungsdiensterichtlinie PSD2 und speziell der Anforderungen an die sogenannte starke Kundenauthentifizierung.
Sie können unter wallet.masterpass.de/login auf Ihre derzeit hinterlegten Karteninformationen zugreifen und diese verifizieren.
Bei Fragen ist unser Kundenservice von Montag bis Freitag von 08:30–19:30 Uhr und am Samstag von 08:30–16:30 Uhr unter +49 30 25559 095 für Sie zu erreichen.
Viele Grüße,
Ihr Masterpass-Team
