Immer mehr LeserInnen beschweren sich über die unberechtigte Einlösung von Payback-Punkten durch Dritte. Was ist an dem Punktediebstahl dran? Und was sagt Payback dazu? Ist Payback unsicher? Wir haben uns mit dem Unternehmen in Verbindung gesetzt.
Payback ist immer wieder mal ein Gesprächsthema unter unseren Lesern. Aktuell melden sich viele ziemlich verärgerte Verbraucher und berichten von einem Punkteklau auf ihrem Payback-Konto. Teilweise gehen die gestohlenen geldwerten Punkte in einen umgerechneten vierstelligen Euro-Bereich. Das ist sehr ärgerlich. Einige der Opfer sind sich sicher, dass Sie
nicht auf Phishing-Mails hereingefallen sind.
Damit Ihnen das auch nicht passiert, berichten wir immer wieder von Phishing-Nachrichten im Namen von Payback. Mit diesen Mails wollen die Betrüger an Ihre Punkte. Aber so manche Nachricht konnte von uns auch schon als echte Payback-Mail enttarnt werden. So auch die E-Mail, in der es um die Vervollständigung Ihres Profils geht. Allerdings hatten wir es auch schon mit gefälschten Webseiten zu tun. Am Ende haben die Kriminellen Ihre Zugangsdaten eingesammelt und anschließend unbefugt Ihre Punkte eingelöst. Das ein Punkteklau aber nicht immer online geschehen muss, hat 2016 der Test von sternTV gezeigt. Damals waren die Terminals die Schwachstelle im System von Payback.
Wie kommt es zu dem aktuellen Punktediebstahl?
Diese Frage stellen sich derzeit viele Payback-Nutzer. Und auch wir haben uns intensiv mit dieser Frage auseinandergesetzt. Fakt ist, dass Payback sowohl gegenüber Kunden als auch der Presse gegenüber jegliche Fehler von sich weist. So schreibt die Payback-Pressestelle auf unsere Anfrage:
Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an Ihre Daten gelangt, oder jemand hat ihre E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.
…
Wir wissen, dass es Phishing Mails „im PAYBACK Stil“ gibt, gegen die unsere Security aber immer schnell Maßnahmen ergreifen kann. Unsere Alarmsysteme funktionieren hier gut. Wir informieren unsere Kunden in solchen Fällen sofort, u.a. in unseren sozialen Kanälen und auf der Homepage (www.payback.de/sicherheit und www.payback.de/phishing).
Wie wohl auch bei vielen anderen Unternehmen haben Phishings seit Beginn der Corona-Krise zugenommen. Die Wahrscheinlichkeit, dass Kunden auf im PAYBACK Stil gefälschte Emails reagieren, ist somit leider höher.
Payback schreibt weiter, dass das Unternehmen in großen Kampagnen den Nutzern erklärt, wie Sie sich besser schützen können.
Damit schiebt Payback seinen Kunden den schwarzen Peter zu. Wahrscheinlich werden auch aus diesem Grund die gestohlenen Payback-Punkte nicht erstattet. Dazu bestehe „auch keine rechtliche Verpflichtung“ .
Veröffentlicht: 12. November 2016
Die Android- und iOS-App Payback ist die Anwendung zum gleichnamigen Rabattsystem. Während Sie früher Coupons und Informationen nur per Post erhalten haben, nutzen Sie heute die App. Den lästigen Papierkram sparen Sie sich dabei. Die
Ist das Payback System wirklich sicher?
Diese Frage haben wir Payback ebenfalls gestellt. Denn aus unserer Sicht scheint die Einlösung von Punkten mithilfe der Kundennummer, der Postleitzahl und dem Geburtsdatum eine Schwachstelle zu sein. Denn immerhin handelt es sich hier um öffentlich zugängliche Daten.
Ein Beispiel: Sie möchten in einem Onlineshop Ware bestellen, der mit Payback zusammenarbeitet. Damit dieser Onlineshop sicher geht, dass Sie bereits 18 Jahre sind, müssen Sie Ihr Geburtsdatum eingeben. Die Postleitzahl wird spätestens bei der Lieferadresse gebraucht. Diese geben Sie also ebenfalls an den Shop weiter. Möchten Sie nun Payback-Punkte sammeln, werden Sie gebeten, die Payback-Kundennummer einzugeben. Damit hat der Onlineshop alle relevanten Daten (selbst wenn diese vorerst verschlüsselt vorliegen).
Wird der Onlineshop Ziel eines Cyberangriffs, gehen diese Daten an die Kriminellen. Schaffen diese es, die Verschlüsselung der Daten aufzuheben, haben die Betrüger alle Daten, um an Ihre Punkte zu kommen. Genauso denkbar wäre aus unserer Sicht, dass es bei einem Onlinehänder eine menschliche Schwachstelle gibt. Im schlimmsten Fall könnte ein Fakeshop die Daten abfragen und so an die Informationen zum Einlösen der Punkte kommen. All diese Sicherheits-Lecks würde es nicht geben, wenn Payback ausschließlich eine sichere Anmeldung mit Passwort und Zwei-Wege-Authentifizierung anbieten würde.
Payback beteuert auch hier, dass das System absolut sicher ist:
Es liegt kein Verschulden von PAYBACK vor, auch nicht der PAYBACK Mitarbeiter oder der Mitarbeiter von Partnerunternehmen (nein, sie haben keinen Zugriff auf PAYBACK Daten anderer Partner!). Datenschutz und Datensicherheit haben bei uns oberste Priorität. Kundendaten werden bei der elektronischen Übertragung mit dem international anerkannten Sicherheitsstandard TLS (Transport Layer Security) und mindestens 128 Bit verschlüsselt und eine mehrstufige Sicherheitsarchitektur sichert den Zugang ab.
Uns stellt sich dir Frage, inwieweit Payback überhaupt für die Partnerunternehmen und deren Sicherheitssysteme sprechen kann? Schade finden wir, dass Payback offensichtlich nicht bereit ist über die Sicherheit der Kundenkonten zu diskutieren. Wenn ein Kundenkonto nur mit öffentlich verfügbaren Informationen abgesichert ist, kann aus unserer Sicht der Datenschutz keine hohe Priorität haben. Zumal das Problem bereits seit Jahren besteht. Da es sich bei Payback-Punkten um einen Geldwert handelt, sollten die Konten der Kunden ähnlich gut gesichert sein, wie ein Bankkonto. Doch das ist nicht der Fall. Bis heute bietet Payback keine Zwei-Faktor-Authentifizierung an, die den Punkteklau unmöglich machen würde.
Wie können die Zugangsdaten noch in die Hände von Dritten geraten sein?
Ein anderes Szenario wäre, dass die Computer der betroffenen Leser mit Schadsoftware infiziert wurden, welche die Zugangsdaten für Onlineaktivitäten abfängt. Allerdings wäre es in dem Fall wahrscheinlicher, dass die Kriminellen auf das Onlinebanking und andere Onlinekonten der Opfer zugreifen, als ausschließlich auf die Payback-Punkte.
Veröffentlicht: 12. November 2016
Ihr Payback Passwort sollten Sie wie bei allen anderen Onlinekonten in regelmäßigen Abständen ändern. Das trägt zu mehr Sicherheit bei. Wir erklären in diesem Artikel, wie Sie Ihr Payback Kennwort ändern. Außerdem erfahren Sie, wie Sie
Payback ist um Sicherheit bemüht
Nachdem Sie sich lange Zeit bei Payback immer mit der Kundennummer, der Postleitzahl und dem Geburtsdatum einloggen konnten, gibt es mittlerweile die Möglichkeit, auf die „Secure Login Methode“ mit E-Mail-Adresse und Passwort umzustellen. Sie können sogar einen PIN für die Einlösung von Punkten festlegen.
Unser Test in einem dm-Markt zeigt, dass der PIN dort allerdings nicht interessiert. Vielmehr wird hier nach Postleitzahl und Geburtsdatum gefragt. Payback schreibt auf Nachfrage, dass es sich dabei um die bevorzugte Methode der Kunden handelt – vor allem wenn es schnell gehen muss. Aber nicht immer ist die schnellste Methode auch die sicherste Methode. Hier ist aus unserer Sicht Payback in der Pflicht nachzubessern.
Was können Sie bei einem Payback-Punktediebstahl tun?
Payback empfiehlt, dass Sie sich an die Polizei wenden und Anzeige erstatten. Das ist in vielen Bundesländern mittlerweile auch online möglich. Um sicher zu gehen, dass Ihr Computer nicht mit Schadsoftware infiziert ist, könnten Sie ein Antivirenprogramm laufen lassen. Ebenso empfehlen wir Ihnen, das aktuelle Payback-Passwort zu ändern, auch wenn das nach wahrscheinlich nicht viel bringt. Nutzen Sie ein sicheres Passwort.
Fazit
So ärgerlich es auch ist, wir wissen derzeit auch nicht, wie es zu dem Punkteklau bei Payback kommt und können nur Vermutungen anstellen. Fakt ist, dass es für die Verbraucher sehr frustrierend ist, wenn das Unternehmen bei einer dermaßen hohen Anzahl an Opfern jegliche Schuld auf die Kunden schiebt und alle Fehler von sich weist. Sowohl in der Wahrnehmung der Verbraucher als auch aufgrund der Fakten erweckt das Payback-System den Eindruck, dass Payback unsicher ist. Und daran können nicht die Kunden schuld sein. Letztlich muss Payback wirksame Maßnahmen ergreifen, um den Diebstahl von Punkten und damit Geld zu unterbinden.
Wie ist Ihre Erfahrung mit Payback?
Sind Sie auch von einer unbefugten Einlösung der Payback-Punkte durch Dritte betroffen? Haben Sie im Vorfeld E-Mails von Payback erhalten? Da Payback uns gegenüber nicht geäußert hat, wie viele Punkte innerhalb des letzten Jahres gestohlen wurden, interessiert uns, wie hoch der Schaden bei Ihnen ist. Nutzen Sie die Kommentare unter dem Artikel, um sich mit anderen Lesern auszutauschen.
Sollten Sie eine E-Mail von Payback erhalten, bei der Sie nicht sicher sind, leiten Sie diese an [email protected] weiter.
War dieser Artikel hilfreich für Sie?
Benutzer-Bewertung
3.3
(10 Stimmen)
Mir wurden am 23.6.2021. 4999 Punkte gestohlen und danach wurde Konto von Payback gesperrt . Habe es erst heut mitbekommen. Nachdem wir weg waren und zu diesem Zeitpunkt auch komplett offline waren
heute wurden knapp 8500 Punkte von unserem Konto gestohlen, eingelöst auf der Payback Seite gegen einen Wertgutschein. Normalerweise bekomme ich bei Einlösung im Prämienshop von Payback eine Email über den Einkauf, aber selbst das kam nicht. Allerdings hat die Payback Seite meinen Account wg unberechtigtem Zugriff gesperrt gehabt.
Frage : wie kann die Website einen unberechtigten Zugriff vermuten, aber trotzdem die Bestellung durch führen ??
wie dem auch sei, wenn man an Payback teilnimmt sollte man regelmäßig nicht das Passwort ändern, weil das nutzt eh nix bei deren Sicherheitsmechanismen, sondern immer selbst schnell mit den Punkten bezahlen, ehe das wer anders unerlaubt macht 😉
Genauso ging es mir am 23.6.2021. hab ich heut gemerkt nachdem wir wieder heim kamen und wir waren auch definitiv vom 20-23.6 offline.😡
Mir wurden am 13.05. bei Thalia 4326 € gestohlen. Zu dem Zeitpunkt alle verfügbaren, die restlichen sind zum Glück noch nicht freigeschaltet gewesen…
Werde die verbleibenden Punkte sofort nach Freischaltung einlösen und mich dann von Payback distanzieren…
Bin echt bedient.
Ich habe heute festgestellt das am 26.04.2021 6000 Punkte bei Aral eingelöst wurden in einer Stadt mehrere 100km von unserem Wohnort entfernt und wir waren es nicht. Das ist eine Frechheit.
Mir wurden vor 3 Tagen 11600 Punkte an einer Aral Tankstelle 600 km von meinem Wohnort entfernt gestohlen. Ich habe im Vorfeld keine Mail von Payback bekommen, das es zu auffälligen Aktivitäten auf meinem Kundenkonto gekommen ist. Auch das Passwort hatte ich erst vor 8 Wochen geändert.
Solange Payback die Möglichkeit anbietet – bspw. über stationäre Terminals in Geschäften – sich mit recht einfach zu beschaffenden Informationen wie Paybacknummer, PLZ und Geburtsdatum sich einzuloggen, ist m. E. das System nicht sicher. Payback weisst sämtliche Schuld von sich und sagt, dies sei ein Verschulden des Kunden, bietet auf der anderen Seite ein riesiges Einfalltor an. Die zuvor genannten Daten sind wie auch in dem Bericht erwähnt in anderem Kontext anzugeben und meist auch im Klartext in den Datenbanken gespeichert. Da braucht es noch nicht einmal einen Hackerangriff von Außen. Diese Daten als Login-Möglichkeit anzubieten ist in der heutigen Zeit schlichweg grob fahrlässig und muss unterbunden werden. Aus meiner Sicht trägt Paypal ein Mitverschulden. Zumal es hier nicht um irgendwelche fiktiven Punkte in irgendeinem System geht, sondern um Bares Geld.