Wer zwischen dem 10. Juli und dem 6. August Kreditkartenkäufte beim bekannten Rollenspiel-Anbieter DriveThruRPG getätigt hat, sollte sich möglicherweise besser mit seinem Kreditkartenunternehmen in Verbindung setzen und die Karte ersetzen lassen. Wer PayPal als Zahlungsmethode genutzt hat, ist auf der sicheren Seite. Die Anbieter raten in einer FAQ selbst eindeutig zum Sperren der Karte:
Q: If I store my credit card information at DriveThruRPG what steps should I take?
A: We suggest you contact your credit card issuing bank and ask them to replace your credit card. We have no evidence that these numbers were compromised. It would not have been easy to un-encrypt the stored numbers, but we cannot rule out the possibility.
Kreditkartennutzer, die betroffen sind, wurden laut Aussagen der Betreiber bereits per Email benachrichtigt. Überaus fragwürdig finde ich, dass die Betreiber nicht auf der Startseite der Internetpräsenz auf das Problem hinweisen.
Die Anbieter behaupten zudem, dass das Sicherheitsleck beseitigt ist und man problemlos und ohne Sorge wieder einkaufen kann. Dennoch: Wo es irgendwie geht, sollte man bei Onlinekäufen von der Nutzung von Kreditkarten absehen und alternative Systeme nutzen. Ja, auch PayPal ist nicht risikolos, aber zumindest können bei der Zahlung darüber keine Kreditkartendaten abgegriffen werden (und ich persönlich hatte in all den Jahren noch nie ein Problem mit PayPal).
Weitere Informationen finden sich ein einer FAQ im Supportsystem von DriveThruRPG
Ist das nicht ein bisschen zu dramatisiert?
Der Hacker hatte Zugriff auf verschlüsselte Kreditkartennummern, aber nicht auf den dreistelligen CVC. Mal angenommen dem Hacker gelingt es überhaupt die Kreditkartennummer zu entschlüsseln, hat er damit immer noch weniger Informationen als jeder Kassierer im Laden oder Restaurant, wo die Kreditkarte benutzt wurde.
Ob das »zu dramatisiert« ist, muss jeder für sich selbst entscheiden, ich habe nur die Informationen der Betreiber wiedergegeben. Zudem noch mit der Ergänzung »möglicherweise«.
Normalerweise hättest Du recht, aber wenn DriveThruRPG selbst schon konkret dazu rät, die Kreditkarte sperren zu lassen, gehe ich davon aus, dass das Problem größer ist, als man zugeben möchte.
Meine Kreditkartendaten hat man tatsächlich für Einkäufe genutzt – fast 400 Euro für Einkäufe auf afrikanischen und türkischen Webseiten… u.a. einem Anbieter für Mailing Listen. Prüft unbedingt Eure Kreditkartenabrechnungen! Ich finde es ein Unding, dass DriveThruRPG das nicht öffentlich macht und Ulisses Spiele deutsche Kunden nicht informiert! Ich habe jetzt einen Riesenärger… zwei Kreditkarten müssen erneuert werden und das zur Urlaubszeit! (eine wurde bereits vorsorglich selbst von der der Berliner Landesbank gesperrt – die Postbank sind die verdächtigen Buchungen nicht aufgefallen – und ich habe es nur zufällig heute mitbekommen als ich die Buchungen onlin egecheckt habe).
Die müssen doch den Sicherheitscode abgegriffen haben… wie ist es sonst möglich mit den Kartendaten einkaufen zu gehen?