Payback: Diebstahl von Punkten – Was sagt Payback dazu?


Bitte unterstützen Sie uns

Mit einmalig 3 € tragen Sie zur Erhaltung von Verbraucherschutz.com bei und erkennen unsere Leistung an. Jetzt 3,00 Euro per PayPal senden. So können Sie uns außerdem unterstützen.

Mit einem freiwilligen Leser-Abo sagen Sie Betrügern den Kampf an, unterstützen die Redaktion und bekommen einen direkten Draht zu uns.

Immer mehr LeserInnen beschweren sich über die unberechtigte Einlösung von Payback-Punkten durch Dritte. Was ist an dem Punktediebstahl dran? Und was sagt Payback dazu? Ist Payback unsicher? Wir haben uns mit dem Unternehmen in Verbindung gesetzt.

Payback ist immer wieder mal ein Gesprächsthema unter unseren Lesern. Aktuell melden sich viele ziemlich verärgerte Verbraucher und berichten von einem Punkteklau auf ihrem Payback-Konto. Teilweise gehen die gestohlenen geldwerten Punkte in einen umgerechneten vierstelligen Euro-Bereich. Das ist sehr ärgerlich. Einige der Opfer sind sich sicher, dass Sie nicht auf Phishing-Mails hereingefallen sind.

Damit Ihnen das auch nicht passiert, berichten wir immer wieder von Phishing-Nachrichten im Namen von Payback. Mit diesen Mails wollen die Betrüger an Ihre Punkte. Aber so manche Nachricht konnte von uns auch schon als echte Payback-Mail enttarnt werden. So auch die E-Mail, in der es um die Vervollständigung Ihres Profils geht. Allerdings hatten wir es auch schon mit gefälschten Webseiten zu tun. Am Ende haben die Kriminellen Ihre Zugangsdaten eingesammelt und anschließend unbefugt Ihre Punkte eingelöst. Das ein Punkteklau aber nicht immer online geschehen muss, hat 2016 der Test von sternTV gezeigt. Damals waren die Terminals die Schwachstelle im System von Payback.

Video Player von Glomex (Datenschutzrichtlinien)

Wie kommt es zu dem aktuellen Punktediebstahl?

Diese Frage stellen sich derzeit viele Payback-Nutzer. Und auch wir haben uns intensiv mit dieser Frage auseinandergesetzt. Fakt ist, dass Payback sowohl gegenüber Kunden als auch der Presse gegenüber jegliche Fehler von sich weist. So schreibt die Payback-Pressestelle auf unsere Anfrage:

Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an Ihre Daten gelangt, oder jemand hat ihre E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.

Wir wissen, dass es Phishing Mails „im PAYBACK Stil“ gibt, gegen die unsere Security aber immer schnell Maßnahmen ergreifen kann. Unsere Alarmsysteme funktionieren hier gut. Wir informieren unsere Kunden in solchen Fällen sofort, u.a. in unseren sozialen Kanälen und auf der Homepage (www.payback.de/sicherheit und www.payback.de/phishing).

Wie wohl auch bei vielen anderen Unternehmen haben Phishings seit Beginn der Corona-Krise zugenommen. Die Wahrscheinlichkeit, dass Kunden auf im PAYBACK Stil gefälschte Emails reagieren, ist somit leider höher.

Payback schreibt weiter, dass das Unternehmen in großen Kampagnen den Nutzern erklärt, wie Sie sich besser schützen können.

Damit schiebt Payback seinen Kunden den schwarzen Peter zu. Wahrscheinlich werden auch aus diesem Grund die gestohlenen Payback-Punkte nicht erstattet. Dazu bestehe „auch keine rechtliche Verpflichtung“ .

Payback - App-Download

(Quelle: Screenshot/Google Play)

Payback – App-Download

Die Android- und iOS-App Payback ist die Anwendung zum gleichnamigen Rabattsystem. Während Sie früher Coupons und Informationen nur per Post erhalten haben, nutzen Sie heute die App. Den lästigen Papierkram sparen Sie sich dabei. Die

1 Kommentar
100% Datenschutz - Kein Spam
Aktuelle Warnungen seriös per Mail
Aktuelle Warnungen seriös per Mail

Ist das Payback System wirklich sicher?

Diese Frage haben wir Payback ebenfalls gestellt. Denn aus unserer Sicht scheint die Einlösung von Punkten mithilfe der Kundennummer, der Postleitzahl und dem Geburtsdatum eine Schwachstelle zu sein. Denn immerhin handelt es sich hier um öffentlich zugängliche Daten.

Ein Beispiel: Sie möchten in einem Onlineshop Ware bestellen, der mit Payback zusammenarbeitet. Damit dieser Onlineshop sicher geht, dass Sie bereits 18 Jahre sind, müssen Sie Ihr Geburtsdatum eingeben. Die Postleitzahl wird spätestens bei der Lieferadresse gebraucht. Diese geben Sie also ebenfalls an den Shop weiter. Möchten Sie nun Payback-Punkte sammeln, werden Sie gebeten, die Payback-Kundennummer einzugeben. Damit hat der Onlineshop alle relevanten Daten (selbst wenn diese vorerst verschlüsselt vorliegen).

Wird der Onlineshop Ziel eines Cyberangriffs, gehen diese Daten an die Kriminellen. Schaffen diese es, die Verschlüsselung der Daten aufzuheben, haben die Betrüger alle Daten, um an Ihre Punkte zu kommen. Genauso denkbar wäre aus unserer Sicht, dass es bei einem Onlinehänder eine menschliche Schwachstelle gibt. Im schlimmsten Fall könnte ein Fakeshop die Daten abfragen und so an die Informationen zum Einlösen der Punkte kommen. All diese Sicherheits-Lecks würde es nicht geben, wenn Payback ausschließlich eine sichere Anmeldung mit Passwort und Zwei-Wege-Authentifizierung anbieten würde.

Payback beteuert auch hier, dass das System absolut sicher ist:

Es liegt kein Verschulden von PAYBACK vor, auch nicht der PAYBACK Mitarbeiter oder der Mitarbeiter von Partnerunternehmen (nein, sie haben keinen Zugriff auf PAYBACK Daten anderer Partner!). Datenschutz und Datensicherheit haben bei uns oberste Priorität. Kundendaten werden bei der elektronischen Übertragung mit dem international anerkannten Sicherheitsstandard TLS (Transport Layer Security) und mindestens 128 Bit verschlüsselt und eine mehrstufige Sicherheitsarchitektur sichert den Zugang ab.

Uns stellt sich dir Frage, inwieweit Payback überhaupt für die Partnerunternehmen und deren Sicherheitssysteme sprechen kann? Schade finden wir, dass Payback offensichtlich nicht bereit ist über die Sicherheit der Kundenkonten zu diskutieren. Wenn ein Kundenkonto nur mit öffentlich verfügbaren Informationen abgesichert ist, kann aus unserer Sicht der Datenschutz keine hohe Priorität haben. Zumal das Problem bereits seit Jahren besteht. Da es sich bei Payback-Punkten um einen Geldwert handelt, sollten die Konten der Kunden ähnlich gut gesichert sein, wie ein Bankkonto. Doch das ist nicht der Fall. Bis heute bietet Payback keine Zwei-Faktor-Authentifizierung an, die den Punkteklau unmöglich machen würde.

Wie können die Zugangsdaten noch in die Hände von Dritten geraten sein?

Ein anderes Szenario wäre, dass die Computer der betroffenen Leser mit Schadsoftware infiziert wurden, welche die Zugangsdaten für Onlineaktivitäten abfängt. Allerdings wäre es in dem Fall wahrscheinlicher, dass die Kriminellen auf das Onlinebanking und andere Onlinekonten der Opfer zugreifen, als ausschließlich auf die Payback-Punkte.

Payback Passwort vergessen PIN vergessen

(Quelle: Payback Pressebild)

Payback PIN vergessen oder Passwort vergessen – PIN/Kennwort ändern

Ihr Payback Passwort sollten Sie wie bei allen anderen Onlinekonten in regelmäßigen Abständen ändern. Das trägt zu mehr Sicherheit bei. Wir erklären in diesem Artikel, wie Sie Ihr Payback Kennwort ändern. Außerdem erfahren Sie, wie Sie

20 comments

Payback ist um Sicherheit bemüht

Nachdem Sie sich lange Zeit bei Payback immer mit der Kundennummer, der Postleitzahl und dem Geburtsdatum einloggen konnten, gibt es mittlerweile die Möglichkeit, auf die „Secure Login Methode“ mit E-Mail-Adresse und Passwort umzustellen. Sie können sogar einen PIN für die Einlösung von Punkten festlegen.

Unser Test in einem dm-Markt zeigt, dass der PIN dort allerdings nicht interessiert. Vielmehr wird hier nach Postleitzahl und Geburtsdatum gefragt. Payback schreibt auf Nachfrage, dass es sich dabei um die bevorzugte Methode der Kunden handelt – vor allem wenn es schnell gehen muss. Aber nicht immer ist die schnellste Methode auch die sicherste Methode. Hier ist aus unserer Sicht Payback in der Pflicht nachzubessern.

Was können Sie bei einem Payback-Punktediebstahl tun?

Payback empfiehlt, dass Sie sich an die Polizei wenden und Anzeige erstatten. Das ist in vielen Bundesländern mittlerweile auch online möglich. Um sicher zu gehen, dass Ihr Computer nicht mit Schadsoftware infiziert ist, könnten Sie ein Antivirenprogramm laufen lassen. Ebenso empfehlen wir Ihnen, das aktuelle Payback-Passwort zu ändern, auch wenn das nach wahrscheinlich nicht viel bringt. Nutzen Sie ein sicheres Passwort.


Fazit

So ärgerlich es auch ist, wir wissen derzeit auch nicht, wie es zu dem Punkteklau bei Payback kommt und können nur Vermutungen anstellen. Fakt ist, dass es für die Verbraucher sehr frustrierend ist, wenn das Unternehmen bei einer dermaßen hohen Anzahl an Opfern jegliche Schuld auf die Kunden schiebt und alle Fehler von sich weist. Sowohl in der Wahrnehmung der Verbraucher als auch aufgrund der Fakten erweckt das Payback-System den Eindruck, dass Payback unsicher ist. Und daran können nicht die Kunden schuld sein. Letztlich muss Payback wirksame Maßnahmen ergreifen, um den Diebstahl von Punkten und damit Geld zu unterbinden.

Wie ist Ihre Erfahrung mit Payback?

Sind Sie auch von einer unbefugten Einlösung der Payback-Punkte durch Dritte betroffen? Haben Sie im Vorfeld E-Mails von Payback erhalten? Da Payback uns gegenüber nicht geäußert hat, wie viele Punkte innerhalb des letzten Jahres gestohlen wurden, interessiert uns, wie hoch der Schaden bei Ihnen ist. Nutzen Sie die Kommentare unter dem Artikel, um sich mit anderen Lesern auszutauschen.

Sollten Sie eine E-Mail von Payback erhalten, bei der Sie nicht sicher sind, leiten Sie diese an [email protected] weiter.

War dieser Artikel hilfreich für Sie?
Sende
Benutzer-Bewertung
3.22 (9 Stimmen)



23 Gedanken zu „Payback: Diebstahl von Punkten – Was sagt Payback dazu?“

  1. Bin auch Opfer von Payback und REWE am 7.9. einmal 1.800 und danach 2.000 Punkte leider sehe ich nicht in welchem REWE das war und Payback reagiert auf keine Nachricht. Habe keine Phishing Mail bekommen, Laptop ist safe und Handy ebenfalls überlege Payback zu löschen

    Antworten

Schreibe einen Kommentar