Kreditkarten Daten wurden vor einem Jahr bei einem Online-Shop entwendet.

Kreditkarten Daten wurden vor einem Jahr bei einem Online-Shop entwendet. (45 Beiträge, 1012 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Heute wurde versucht mit den Datenn einzukaufen
Natürlich kam eine SMS von der Bank, das die Transaktion fehlgeschlagen ist

Zum Glück hat mich der Online-Shop damals darüber verständigt
Und ich habe die Karte damals sofort sperren lassen

edit: das zweite damals ergänzt, da es sonst missverstanden werden kann

ich war nur erstaunt, dass man so lange gewartet hat, um die daten zu verwenden
der rest ist eh super gelaufen für mich, verständigung, neue karte...

Gruß Sonic The Hedgehog

17.01.2022, 09:14 Uhr - Editiert von Sonic The Hedgehog, alte Version: hier

ich habe die Karte sofort sperren lassen

JETZT erst?

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Jetzt erst, wurde versucht abzubuchen
Gesperrt wurde sie umgehend nach der Information dir h den Shop damals

Gruß Sonic The Hedgehog

Er versteht es mal wieder nicht

Zum Glück hat mich der Online-Shop damals darüber verständigt
Und ich habe die Karte sofort sperren lassen

Zum Glück hat mich der Online-Shop damals darüber verständigt

Gut so...

Und ich habe die Karte sofort sperren lassen

Normalerweise hätte der Händler seinen Acquirer über das Datenleck informieren müssen. Dieser wiederrum VISA/Mastercard/Amex, etc.
Und diese wieder deine kartenausgebende Bank, welche dann ganz von alleine einen Sperrvorgang einleitet und du eine neue Karte bekommst.

Also viel hätte nicht passieren können.

Und weiters hätte auch nicht viel passieren können, da...

a) jede Zahlung, welche mit einer EU-Kreditkarte ausgeführt wird, eine 3D-Secure-Zahlung sein muss.
b) wenn a nicht zutrifft und es eine MOTO-Zahlung ist (z.B. bei einem Reisebüro über Telefon) du sowieso jederzeit das Recht hast diese Zahlung zu kündigen.
c) eine Zahlung über ein POS (vor Ort) auch mit PIN verifiziert werden muss

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Normalerweise hätte der Händler seinen Acquirer über das Datenleck informieren müssen. Dieser wiederrum VISA/Mastercard/Amex, etc.
Und diese wieder deine kartenausgebende Bank, welche dann ganz von alleine einen Sperrvorgang einleitet und du eine neue Karte bekommst.

vielleicht ist es eh parallel im hintergrund gelaufen, aber darauf wollte ich wirklich nicht warten

Gruß Sonic The Hedgehog

a) jede Zahlung, welche mit einer EU-Kreditkarte ausgeführt wird, eine
3D-Secure-Zahlung sein muss.

b) wenn a nicht zutrifft und es eine MOTO-Zahlung ist (z.B. bei einem
Reisebüro über Telefon) du sowieso jederzeit das Recht hast diese Zahlung zu
kündigen.

OK, ergo jeder Händler bei dem ich einkaufe und ich keine MFA habe. fällt unter b ?

Was ich mich auch immer frage...der Händler darf ja soweit ich informiert bin keine CVC/CVV speichern...ich muss meine Daten bei amazon zb genau einmal eingeben und das wars, ganz selten mal wird die komplette Nummer abgeragt, aber nicht bei jedem Bezahlvorgang...wie kann das eigentlich PCI compliant sein ?
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Bei Amazon und Paypal gelten, vermute ich, ganz andere Regeln.

und warum ? Weils Big Player sind und man davona sugeth das die eh alels gscheit machen ? An Paypal hab ich garnet gedacht, aber auch da ist meine Karte hinterlegt und die taucht genau dann auf wenn sie abgelaufen ist, sonst mus sich da nie was bestätigen.
im Fall einer Paypal Zahlung kann mir alerdings kaum was entgehen, es poppen Push Meldungen von CardComplete und Paypal auf, Belege kommen per Mail...trotzdem interessant zu wissen wie das hier eigentlich geregelt wird.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Versuchs einfach mal ohne Verschwörungstheorien! Beide Unternehmen sind/haben Banken und geeignete Banklizenzen. Sie SIND PCI-DSS compliant und werden jährlich auditiert.

Das wäre für einen normalen Händler unfinanzierbar.

Amazon ist eine lizensierte Bank?

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Für die Abwicklung werden sie sicher eine haben. Sie haben ja auch eine eigene Coin und dutzende Fintechs.

https://www.cbinsights.com/research/report/amazon-across-financial-services-fintech/

um PCI compliant zu sein muss man sich ja an die Regeln halten, und die besagen iirc: keine Speicherung dieser Daten. Ist das für Banken dann anders ?
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Was glaubst du, was deine Bank, deine CC Organisation, der Kartenhersteller oder das Netz, über das die TX geroutet wird, speichern MUSS?

das netz an sich mal garnix
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Aufbewahrungspflicht von Transaktionen ist 7 Jahre.

Die meisten Zahlungsdienstleister die ich bisher implementieren durfte generieren bei erstmaliger Verwendung einer KK eine eigene interne Nummer, die dann gespeichert und wiederverwendet werden darf.

und die ist dann bei CardComplete legitimiert und quasi fix mit amazon verbunden ?
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Ja.

aha, ja, so kommt man dann drum rum

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Jein.

Du musst es so vorstellen:

Der PSP (PaymentServiceProvider) welche die Kreditkartendaten verarbeiten darf, nimmt die Kreditkartennummer und speichert sie in einer Vault. Dieser Kreditkarte und Händler, wird ein eindeutiger Token zugewiesen. Dieser Token wird dem Händler mitgeteilt.

Wird nun eine weitere Zahlung seitens des Händlers ausgelöst, benutzt der Händler den Token um beim PSP zu sagen, dass nochmals eine Zahlung über X Euro auf diese Kreditkarte ausgelöst werden soll.
Der PSP liest diese Kreditkartendaten wieder aus seiner Vault aus und übermittelt diese dem Acquirer. Der Acquirer ist der nächste in der Kette, welcher der Akzeptanzpartner des Händlers ist und die Gelder dem Händler auszahlt.

Der ACQ überprüft ob die erste Zahlung richtig geflagged (also markiert wurde, dass die erste Zahlung eine INITIAL-Zahlung war und darauf Recurrings passieren dürfen) wurden und schickt dann die Anfrage an deine Kartenausgebene Bank (z.B. der Card Complete) weiter.
Und wenn diese es für gut empfindet, dann wird die Zahlung durchgelassen.

Wobei die Welten eines

1) PaymentServiceProviders (PSP)
2) Acquirers (ACQ)
3) Issuers (die Bank die die CC ausgibt)

verschwimmen kann.

Card Complete ist z.B. 2 und 3, aber nicht 1.

SIX Payment (oder Wordline, oder Payone, oder Paylife,... die Wissen selbst gerade nicht wie sie genau heißen, kein Witz), ist z.B. alle 3 Dinge gleichzeitig.

17.01.2022, 22:45 Uhr - Editiert von mastermind2004, alte Version: hier

verstehe, ja das ist zwar ein wenig kompliziert, aber scheint sinnvoll gelöst zu sein. Und man kann ja auch laufende Abos oder dergleichen mit der Kreditkarte zahlen, da ist auch nicht jedes Mal eine Eingabe des CVV oder gar eine MFA nötig
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Ja, es ist durchaus kompliziert und gerade mit Einführung der PSD 2 mit Anfang 2021 hat sich die Sache nochmals verschärft.

Ich arbeite seit 2015 nun in der Branche (für einen PSP) und das unseren Kunden zu erklären ist durchaus mühsam. Vor allem wenn es dann zu Fehlern kommt. Weil eben die komplette Kommunikation (Händler, PSP, ACQ, Issuer) von vorne bis hinten klappen muss.

OK, ergo jeder Händler bei dem ich einkaufe und ich keine MFA habe. fällt
unter b ?

Nein, siehe: https://forum.geizhals.at/t903568,8100643.html#8100643

Was ich mich auch immer frage...der Händler darf ja soweit ich informiert bin
keine CVC/CVV speichern...ich muss meine Daten bei amazon zb genau einmal
eingeben und das wars, ganz selten mal wird die komplette Nummer abgeragt,
aber nicht bei jedem Bezahlvorgang...wie kann das eigentlich PCI compliant
sein ?

Das kommt drauf an. Sofern der Händler keine PCI- SAQ-D-zeritifizierung hat, darf er keine Kreditkartendaten speichern. Deswegen möchte der Händler normalerweise eine Art "CheckoutPage", bei der technisch gesehen, der Endkunde die Daten beim PSP (PaymentServiceProvider) eingibt, da ja DER diese Zertifizierung hat.

Sofern der Händler SAQ-A zertifiziert ist (also den Checkout über eine Checkoutpage oder ähnliches macht), dann darf er maximal einen Token speichern, welche der PSP ihm nach einer erfolgreichen Zahlung zur Verfügung stellt.
Bezieht sich der Endkunde bei einer Transaktion nochmals auf eine Zahlung (sprich, wählt die Kreditkarte, maskiert nochmals in dem Onlineshop aus), wird eine Art des Recurrings (wiederkehrende Zahlung) angewandt, nämlich das sog. "One-Click-Checkout".
Hier initialisiert der Händler nochmals mit dem Token von deiner letzten Zahlung. Bei dem PSP ist deine Kreditkarte hinter dem Token gespeichert.

Amazon ist hier sowieso ein gaaaaanz schlechtes Beispiel. Die haben a) so lange es nur irgendwie möglich war, die Transaktionen als MOTO eingereicht (mailorder-teleorder), was eigentlich nur Reisebüros etc. zur Verfügung stehen sollte.
Dabei ist weder der CVC noch ein 3D Secure-Check notwendig. Nur die Kreditkartennummer und das Ablaufdatum.

a) Einen MOTO-Vertrag musst überhaupt mal bekommen
b) Dann die Transaktionen so einreichen dürfen, OBWOHL der Kunde im Checkout ist (was somit eine ECOM-Transaktion *TRÖT*setzt)
c) Eine MOTO-TX kann vom Endkunden einfach storniert werden kann (im gegensatz zu einer 3D-Secure-Zahlung)

Aber hier gilt bzw. galt einfach das Recht des Stärkeren und Amazon hat hier seine eigenen Regeln aufgestellt bzw. vermutlich das Risiko übernommen.

Mittlerweile muss man aber auch bei Amazon einen 3D-Secure-Check machen, wobei danach auf diesen Recuring betrieben wird.

Mittlerweile muss man aber auch bei Amazon einen 3D-Secure-Check machen, wobei
danach auf diesen Recuring betrieben
wird.

noch NIE
nicht mal bei mehreren 100 Euro

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

noch NIE
nicht mal bei mehreren 100 Euro

Ich hatte das schon.

Wenn du bei Amazon eine neue CC hinterlegst mittlerweile schon (bei der ersten Zahlung) und danach sind es eben Recurs

aha, also gibbts nicht einfach nur "PCI compliant" sondern verschiedene Gütestufen, das wusste ich nicht.

3D Check hab ich allerdings auch bis Stand letzte bestellung 14.1.2022 keinen gemacht bzw bin ich nicht gefragt worden. Kann natürlich sein das wenn die das erst seit kurzem eingeführt haben, das in Waves abgehandelt wird. Etwas für zig Millionen Kunden gleichzeitig zu ändern was den Bezalvorgang angeht mach tman ja üblicherweise nicht auf einen Schlag
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Sobald du bei Amazon deine Adressdaten änderst, sind deine hinterlegten Zahlungsmittel entwertet.

———
Satire erfordert Intelligenz beim Empfänger.

Ziehe selten um

wäre mir aber beim letzten Umzug nich tuafgefallen. Ich kann aber sehr wohl an Abholstationen der Post und Hub Locker schicken lassen ohne meine Zahlungsinformationen neu eingeben zu müssen
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Also ich musste bis jetzt bei jeder neuen Zustelladresse einmal meine Kartennummer bestätigen (oder zumindest den CVC, bin mir grad nicht mehr sicher).

neu kommt da mittlerweile bie mir auch nix mehr dazu, hab meine Wohnadresse, 2,3 Abholboxen, fertig :D
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

a) jede Zahlung, welche mit einer EU-Kreditkarte ausgeführt wird, eine
3D-Secure-Zahlung sein muss.

nein. Es gibt genug online-Zahlungen ohne 3D oder 2FA

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Doch.

3D Secure sind alle, nämlich müssen diese 2.1 bzw. 2.1+ oder 2.2 sein. Seit dem 1.1.2021 ist die PSD2 im Einsatz, welche weitere, personenbezogene Daten des Endkunden, verlangt. Desto mehr übergeben werden, desto geringer die Chance auf eine "Challange" (also 3D-Secure-Eingabe) beim Endkunden. Letztendlich entscheidet die Bank auf Grund des MCCs des Händlers (Merchant Catagory Code, also was der Händler verkauft), die Höhe der Transkation und eben der mitgeschickten Daten und noch einigen anderen Dingen, wie z.b. der Mondphase.

warum zahl ich dann so oft (nicht bri Amazon) OHNE 3D ??

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Verstehen tu ich das nicht.
Vor einem Jahr wurde die Karte gesperrt? Was wurde seit dieser Zeit mit dieser Karte gemacht? Die ist seit dem gesperrt? Warum hast du keine neue?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Vor einem Jahr wurde die Karte gesperrt?

richtig, wurde von mir vor einem jahr, sofort nach erhalt der information gesperrt

Was wurde seit dieser Zeit mit dieser Karte gemacht?

schnipp / schnapp

Die ist seit dem gesperrt?

na glaubst die lasse ich wieder frei schalten?

Warum hast du keine neue?

die neue karte hatte ich eine woche nach der sperre bereits im briefkasten

Gruß Sonic The Hedgehog

ich vermute mal, die Daten wurden da alt "verramscht" und da probiert jemand durch
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Ich hab gelesen, dass die ursprünglichen hacker die Daten oft nicht selber verwenden sondern weiter verkaufen. Das ist ungefährlicher. Wenn man die Kreditkartendaten einsetzt, kann man leicht von den Strafverfolgern erwischt werden.

Jetzt hat sich offenbar ein mutiger gefunden, der die Daten durchprobiert.

Hatte letztes Jahr kurz vorm Urlaub das Vergnügen.
Wollte Mietwagen buchen und Zahlung ging nicht durch.

Nach langem Warten in der Serviceline wurde mir dann gesagt dass die Karte automatisch gesperrt wurde, weil ich mal bei einem Shop bezahlt hab der wohl kompromittiert wurde.

Eine Info dazu hab ich bis zu diesem Zeitpunkt allerdings nie bekommen. Neue Karte war auch noch nicht in Auftrag gegeben, für den Urlaub also in jedem Fall nicht mehr rechtzeitig zu bekommen.

Es wurde dann vereinbart dass zumindest vor-Ort Zahlungen wieder erlaubt werden für die Dauer vom Urlaub, und die einzelne Zahlung für den Mietwagen manuell autorisiert wird übers Internet.

Kaum will ich den Mietwagen dann abholen (mit Deposit wie üblich) gibt's wieder einen Zahlungsfehler.
Bei >30° Außen- und Innentemperatur dann wieder 40 min in der Warteschleife gewesen - "oh, da ist wohl was nicht übernommen worden"... na ich war gut drauf...

Immerhin war der Vermieter recht entspannt und es hat dann alles geklappt.

Für mich nur unverständlich warum der Kunde da nicht gleich informiert wird dass die Karte wegen solch einem Vorfall gesperrt wurde, dann kann man sich wenigstens einrichten bis die neue Karte kommt.

17.01.2022, 18:44 Uhr - Editiert von -MagicX-, alte Version: hier

Ich habe vor ca 5 Jahren einmal eine neue Kreditkarte (inkl neuer Nummer) bekommen. Das Timing war irgendwie merkwürdig. Kann sein das ich kurz vorher erst eine neue Karte bekommen.
Oder kam zuerst der Brief mit der Sperre und erst später die Karte. Ich kann mich nicht so genau erinnern.
Ich habe nur nie erfahren wieso ich einen neue Kreditkartennummer bekommen habe.
Vielleicht auch so ein Fall?

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung