Verbraucherschutz möchte Ihnen Push-Benachrichtigungen schicken.

Bitte wählen Sie Kategorien die Sie abonnieren möchten.



Payback: Diebstahl von Punkten – Was sagt Payback dazu?


Bitte unterstützen Sie uns

Mit einmalig 3 € tragen Sie zur Erhaltung von Verbraucherschutz.com bei und erkennen unsere Leistung an. Jetzt 3,00 Euro per PayPal senden. So können Sie uns außerdem unterstützen.

Mit einem freiwilligen Leser-Abo sagen Sie Betrügern den Kampf an, unterstützen die Redaktion und bekommen einen direkten Draht zu uns.

Immer mehr LeserInnen beschweren sich über die unberechtigte Einlösung von Payback-Punkten durch Dritte. Was ist an dem Punktediebstahl dran? Und was sagt Payback dazu? Ist Payback unsicher? Wir haben uns mit dem Unternehmen in Verbindung gesetzt.

Payback ist immer wieder mal ein Gesprächsthema unter unseren Lesern. Aktuell melden sich viele ziemlich verärgerte Verbraucher und berichten von einem Punkteklau auf ihrem Payback-Konto. Teilweise gehen die gestohlenen geldwerten Punkte in einen umgerechneten vierstelligen Euro-Bereich. Das ist sehr ärgerlich. Einige der Opfer sind sich sicher, dass Sie nicht auf Phishing-Mails hereingefallen sind.

Damit Ihnen das auch nicht passiert, berichten wir immer wieder von Phishing-Nachrichten im Namen von Payback. Mit diesen Mails wollen die Betrüger an Ihre Punkte. Aber so manche Nachricht konnte von uns auch schon als echte Payback-Mail enttarnt werden. So auch die E-Mail, in der es um die Vervollständigung Ihres Profils geht. Allerdings hatten wir es auch schon mit gefälschten Webseiten zu tun. Am Ende haben die Kriminellen Ihre Zugangsdaten eingesammelt und anschließend unbefugt Ihre Punkte eingelöst. Das ein Punkteklau aber nicht immer online geschehen muss, hat 2016 der Test von sternTV gezeigt. Damals waren die Terminals die Schwachstelle im System von Payback.

Wie kommt es zu dem aktuellen Punktediebstahl?

Diese Frage stellen sich derzeit viele Payback-Nutzer. Und auch wir haben uns intensiv mit dieser Frage auseinandergesetzt. Fakt ist, dass Payback sowohl gegenüber Kunden als auch der Presse gegenüber jegliche Fehler von sich weist. So schreibt die Payback-Pressestelle auf unsere Anfrage:

Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an Ihre Daten gelangt, oder jemand hat ihre E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.

Wir wissen, dass es Phishing Mails „im PAYBACK Stil“ gibt, gegen die unsere Security aber immer schnell Maßnahmen ergreifen kann. Unsere Alarmsysteme funktionieren hier gut. Wir informieren unsere Kunden in solchen Fällen sofort, u.a. in unseren sozialen Kanälen und auf der Homepage (www.payback.de/sicherheit und www.payback.de/phishing).

Wie wohl auch bei vielen anderen Unternehmen haben Phishings seit Beginn der Corona-Krise zugenommen. Die Wahrscheinlichkeit, dass Kunden auf im PAYBACK Stil gefälschte Emails reagieren, ist somit leider höher.

Payback schreibt weiter, dass das Unternehmen in großen Kampagnen den Nutzern erklärt, wie Sie sich besser schützen können.

Damit schiebt Payback seinen Kunden den schwarzen Peter zu. Wahrscheinlich werden auch aus diesem Grund die gestohlenen Payback-Punkte nicht erstattet. Dazu bestehe „auch keine rechtliche Verpflichtung“ .

Payback – App-Download

Die Android- und iOS-App Payback ist die Anwendung zum gleichnamigen Rabattsystem. Während Sie früher Coupons und Informationen nur per Post erhalten haben, nutzen Sie heute die App. Den lästigen Papierkram sparen Sie sich dabei. Die

1 Kommentar

Ist das Payback System wirklich sicher?

Diese Frage haben wir Payback ebenfalls gestellt. Denn aus unserer Sicht scheint die Einlösung von Punkten mithilfe der Kundennummer, der Postleitzahl und dem Geburtsdatum eine Schwachstelle zu sein. Denn immerhin handelt es sich hier um öffentlich zugängliche Daten.

Ein Beispiel: Sie möchten in einem Onlineshop Ware bestellen, der mit Payback zusammenarbeitet. Damit dieser Onlineshop sicher geht, dass Sie bereits 18 Jahre sind, müssen Sie Ihr Geburtsdatum eingeben. Die Postleitzahl wird spätestens bei der Lieferadresse gebraucht. Diese geben Sie also ebenfalls an den Shop weiter. Möchten Sie nun Payback-Punkte sammeln, werden Sie gebeten, die Payback-Kundennummer einzugeben. Damit hat der Onlineshop alle relevanten Daten (selbst wenn diese vorerst verschlüsselt vorliegen).

Wird der Onlineshop Ziel eines Cyberangriffs, gehen diese Daten an die Kriminellen. Schaffen diese es, die Verschlüsselung der Daten aufzuheben, haben die Betrüger alle Daten, um an Ihre Punkte zu kommen. Genauso denkbar wäre aus unserer Sicht, dass es bei einem Onlinehänder eine menschliche Schwachstelle gibt. Im schlimmsten Fall könnte ein Fakeshop die Daten abfragen und so an die Informationen zum Einlösen der Punkte kommen. All diese Sicherheits-Lecks würde es nicht geben, wenn Payback ausschließlich eine sichere Anmeldung mit Passwort und Zwei-Wege-Authentifizierung anbieten würde.

Payback beteuert auch hier, dass das System absolut sicher ist:

Es liegt kein Verschulden von PAYBACK vor, auch nicht der PAYBACK Mitarbeiter oder der Mitarbeiter von Partnerunternehmen (nein, sie haben keinen Zugriff auf PAYBACK Daten anderer Partner!). Datenschutz und Datensicherheit haben bei uns oberste Priorität. Kundendaten werden bei der elektronischen Übertragung mit dem international anerkannten Sicherheitsstandard TLS (Transport Layer Security) und mindestens 128 Bit verschlüsselt und eine mehrstufige Sicherheitsarchitektur sichert den Zugang ab.

Uns stellt sich dir Frage, inwieweit Payback überhaupt für die Partnerunternehmen und deren Sicherheitssysteme sprechen kann? Schade finden wir, dass Payback offensichtlich nicht bereit ist über die Sicherheit der Kundenkonten zu diskutieren. Wenn ein Kundenkonto nur mit öffentlich verfügbaren Informationen abgesichert ist, kann aus unserer Sicht der Datenschutz keine hohe Priorität haben. Zumal das Problem bereits seit Jahren besteht. Da es sich bei Payback-Punkten um einen Geldwert handelt, sollten die Konten der Kunden ähnlich gut gesichert sein, wie ein Bankkonto. Doch das ist nicht der Fall. Bis heute bietet Payback keine Zwei-Faktor-Authentifizierung an, die den Punkteklau unmöglich machen würde.

Wie können die Zugangsdaten noch in die Hände von Dritten geraten sein?

Ein anderes Szenario wäre, dass die Computer der betroffenen Leser mit Schadsoftware infiziert wurden, welche die Zugangsdaten für Onlineaktivitäten abfängt. Allerdings wäre es in dem Fall wahrscheinlicher, dass die Kriminellen auf das Onlinebanking und andere Onlinekonten der Opfer zugreifen, als ausschließlich auf die Payback-Punkte.

Payback PIN vergessen oder Passwort vergessen – PIN/Kennwort ändern

Ihr Payback Passwort sollten Sie wie bei allen anderen Onlinekonten in regelmäßigen Abständen ändern. Das trägt zu mehr Sicherheit bei. Wir erklären in diesem Artikel, wie Sie Ihr Payback Kennwort ändern. Außerdem erfahren Sie, wie Sie

20 comments

Payback ist um Sicherheit bemüht

Nachdem Sie sich lange Zeit bei Payback immer mit der Kundennummer, der Postleitzahl und dem Geburtsdatum einloggen konnten, gibt es mittlerweile die Möglichkeit, auf die „Secure Login Methode“ mit E-Mail-Adresse und Passwort umzustellen. Sie können sogar einen PIN für die Einlösung von Punkten festlegen.

Unser Test in einem dm-Markt zeigt, dass der PIN dort allerdings nicht interessiert. Vielmehr wird hier nach Postleitzahl und Geburtsdatum gefragt. Payback schreibt auf Nachfrage, dass es sich dabei um die bevorzugte Methode der Kunden handelt – vor allem wenn es schnell gehen muss. Aber nicht immer ist die schnellste Methode auch die sicherste Methode. Hier ist aus unserer Sicht Payback in der Pflicht nachzubessern.

Was können Sie bei einem Payback-Punktediebstahl tun?

Payback empfiehlt, dass Sie sich an die Polizei wenden und Anzeige erstatten. Das ist in vielen Bundesländern mittlerweile auch online möglich. Um sicher zu gehen, dass Ihr Computer nicht mit Schadsoftware infiziert ist, könnten Sie ein Antivirenprogramm laufen lassen. Ebenso empfehlen wir Ihnen, das aktuelle Payback-Passwort zu ändern, auch wenn das nach wahrscheinlich nicht viel bringt. Nutzen Sie ein sicheres Passwort.

Fazit

So ärgerlich es auch ist, wir wissen derzeit auch nicht, wie es zu dem Punkteklau bei Payback kommt und können nur Vermutungen anstellen. Fakt ist, dass es für die Verbraucher sehr frustrierend ist, wenn das Unternehmen bei einer dermaßen hohen Anzahl an Opfern jegliche Schuld auf die Kunden schiebt und alle Fehler von sich weist. Sowohl in der Wahrnehmung der Verbraucher als auch aufgrund der Fakten erweckt das Payback-System den Eindruck, dass Payback unsicher ist. Und daran können nicht die Kunden schuld sein. Letztlich muss Payback wirksame Maßnahmen ergreifen, um den Diebstahl von Punkten und damit Geld zu unterbinden.

Wie ist Ihre Erfahrung mit Payback?

Sind Sie auch von einer unbefugten Einlösung der Payback-Punkte durch Dritte betroffen? Haben Sie im Vorfeld E-Mails von Payback erhalten? Da Payback uns gegenüber nicht geäußert hat, wie viele Punkte innerhalb des letzten Jahres gestohlen wurden, interessiert uns, wie hoch der Schaden bei Ihnen ist. Nutzen Sie die Kommentare unter dem Artikel, um sich mit anderen Lesern auszutauschen.

Sollten Sie eine E-Mail von Payback erhalten, bei der Sie nicht sicher sind, leiten Sie diese an [email protected] weiter.

War dieser Artikel hilfreich für Sie?
Sende
Benutzer-Bewertung
3.3 (10 Stimmen)

59 Gedanken zu „Payback: Diebstahl von Punkten – Was sagt Payback dazu?“

  1. Mir wurden gestern 7500 Punkte bei Aral gestohlen . Ich beachte immer alle Sicherheitsvorkehrungen, wechsle Pin und Passwort . Die Einlösung erfolgte in zwei verschiedenen Tankstellen mehrere Hundert Kilometer von meinem Wohnort entfernt .

    Antworten
  2. Bei mir sind am 5.2. auch einmal 188€ im DM eingelöst worden, dann nochmal 81€ bei Aral. Wahnsinn, wie soll denn das funktionieren? Meine Karte hab ich und meine PIN/Geburtsdatum kennt doch auch nicht irgendein Fremder…

    Antworten
  3. Folgenden Sachverhalt habe ich bereits bei Reklamation24 geschildert und veröffentlicht.

    Von meinem Payback Konto sind meine Punkte in Gutscheine umgewandelt worden. Fast 80.000 Punkte die über Jahre angesammelt wurde. Da ich auf diesem weg versuche die durch einen Dritten entwendeten Punkte wieder zu bekommen, werde ich hier nur kurz den Sachverhalt schildern. Sollte es mit Payback keine Einigung geben, werden alle Anhänge, sowie der geführte Schriftverkehr unter anderem hier veröffentlicht.
    Am 31.10. und 01.11.2020 wurden meine Punkte in Gutscheine umgewandelt und 14.200 Punkte ohne meine Paybackkarte und ohne PIN im Geschäft (Thalia) eingekauft. Die Gutscheine die sich immer noch auf meinem Konto befinden sind ebenfalls auf Thalia ausgestellt.
    Am 02.11.2020 wurde es von mir bemerkt und die Gutscheine wurden durch meinen Anruf von Payback gesperrt.
    Da ich noch nie bei Thalia eingekauft habe und es in Zukunft auch nicht vor habe, habe ich mehrfach in Ihrem Kundencenter angerufen mit der bitte, meinen widerruf zu berücksichtigen. Leider ohne Erfolg. Mir wurde unter anderem mitgeteilt, dass die Gutscheine 3 Jahre Ihre Gültigkeit haben und dass Gutscheine nicht zurück gegeben werden können.
    Da es auch bei Gutscheinen eine 14tägige Widerrufsfrist gibt, ist es für mich unverständlich das Payback dieses völlig ignoriert.
    Ich hoffe das die Vernunft siegt!

    Meine Forderung:
    Erstattung der Punkte
    17 JAN
    2021
    Doris hat eine Antwort geschrieben
    Sehr geehrte Damen und Herren,

    leider haben Sie noch nicht auf meine Schreiben reagiert. Die Gutscheine im Wert von 649,93 €, befinden sich immer noch abrufbereit auf meinem Paybackkonto. Sie wurden durch unbekannte am 31.10. sowie 01.11.2020 gekauft.
    Am 02.11.2020 wurde der Diebstahl von mir bemerkt und der Kauf widerrufen. Ich bitte um Berücksichtigung des Widerrufs und Erstattung der Punkte. Den kleinsten Gutschein von 999 ( 9,99 €) Punkte, haben Sie am selben Tag storniert und wieder Gutgeschrieben. Es ist unbegreiflich warum der Widerruf bei den anderen 3 Gutscheinen, die am selben Tag gekauft wurden, nicht möglich ist.
    Ich bitte um baldige Antwort und Klärung.

    18 JAN
    2021
    Payback hat eine Antwort geschrieben
    Liebe Doris, bitte kontaktiere uns dazu am besten nochmals telefonisch unter: 089 – 540 20 80 20. Auf nicht von Payback betriebenen und gesicherten Kanälen dürfen wir aus Datenschutzgründen keine Einsicht in Deine Daten nehmen. Bitte schildere dem Mitarbeiter des Kundenservice Dein Anliegen mit Verweis auf die Straftat Dritter und dass Du die Gutschrift irrtümlich nur für einen Gutschein erhalten hast.

    19 JAN
    2021
    Doris hat eine Antwort geschrieben
    Ich habe mich gerade mit ihrem Kundenservice in Verbindung gesetzt und die Sache nochmal geschildert. Leider hat die Mitarbeiterin mich nicht in die entsprechende Abteilung verbinden können.
    Folgendes habe ich Ihrer Mitarbeiterin mitgeteilt.
    Der Kauf der Gutscheine beruht auf eine Straftat durch Dritte und das ich die Gutschrift irrtümlich nur für einen Gutschein erhalten habe. Es wurde der Kauf von allen vier Gutscheine bereits am 02.11.2020 widerrufen. Ihre Mitarbeiterin teilte mir mit, dass Sie es an die Fachabteilung weiterleitet. Ich soll mich noch etwas gedulden. Es dauert 2-3 Wochen bis ich eine Antwort erhalte.
    Genau diese Aussage habe ich nach jedem Anruf bei Ihnen erhalten. Was gibt es denn da noch zu Prüfen. Der Wert der Gutscheine ist in voller Höhe noch vorhanden. Ich bitte nochmals um Stornierung.
    Wenn Sie, wie sie selber schreiben, nur ein Gutschein irrtümlich erstattet haben und den Sachverhalt durch viele Telefonate so wie anschreiben von mir kennen.
    Der eine Gutschein wurde ja auch am selben Tag storniert.

    20 JAN
    2021
    Doris hat eine Antwort geschrieben
    Sehr geehrte Frau XXXX,

    vielen Dank, dass Sie sich erneut an uns gewandt haben.
    Gerne haben wir Ihr Anliegen erneut geprüft. Wir haben dabei festgestellt, dass Sie am 30.10.2019 bereits eine Sicherheitsberatung durch uns erhalten haben. Ihr Konto wurde wegen des Verdachtes eines Fremdzugriffs am 29.10.2019 gesperrt.

    In dieser Sicherheitsberatung haben wir Ihr Ihnen dringlich empfohlen, Ihr Kennwort für den Zugang zu Ihrem E-Mail-Konto zu ändern.

    Unmittelbar vor dem Fremdzugriff am 31.10.2020, erfolgte eine Kennwortzurücksetzung an Ihre E-Mail-Adresse. Wir müssen daher davon ausgehen, das dem Einlöser weiterhin Ihre Daten bekannt waren.

    Wir bitten daher um Verständnis, das eine Gutschrift der eingelösten Punkte nicht möglich ist. Vorsorglich möchten wir Sie darauf hinweisen, dass auch weitere Einsprüche zu keiner anderen Bewertung Ihres Anliegens führen werden.

    Mit freundlichen Grüßen

    Susanne Schäfer
    Vom Payback Kundenservice

    Ich habe mich erst am 02.11.2020 mit Payback in Verbindung gesetzt, nachdem ich bemerkt habe, dass ein Login nicht funktioniert. Das mein Konto am 29.10. schon gesperrt wurde, habe ich von Payback nicht erfahren.
    Was für eine Sicherheitsberatung? Ich habe weder eine Mail bekommen, noch wurde mit Payback am 30.10. telefoniert. Oder war es etwa der Straftäter selber? Da hat doch nicht etwa der Einlöser von Payback die Login- Daten bekommen.

    Es Spielt auch keine Rolle wer, wann, wie die Gutscheine gekauft hat.
    Entscheidend ist, dass der Kauf der Gutscheine nach einem, bzw. zwei Tagen widerrufen wurde.

    Die Gutscheine liegen noch abrufbereit auf meinem Paybackkonto. Der Wert ist noch in voller Höhe vorhanden (649,93 €). Der Kauf wurde am 02.11.2020 widerrufen. Da beim Kauf von Gutscheine dem Verbraucher ein 14tägiges Widerrufsrecht zusteht, ist Payback dazu gesetzlich verpflichtet die Gutscheine zurück zu nehmen und den Wert zu erstatten.
    Payback selbst räumt oben den Irrtum ein.
    Nach mehr als 20 Jahren die ich Payback Kunde bin, könnte man doch erwarten nicht allein gelassen zu werden. Nein Payback deckt und unterstützt noch den Punktediebstahl. Ich werde die Gutscheine nicht abrufen, da ich bei Thalia nicht einkaufe. Sie haben ja 3 Jahre Gültigkeit und werden wohl solange da liegen. Wer das Geld wohl nach Ablauf der Frist bekommt?!

    Ich werde natürlich meine Ansprüche gerichtlich geltend machen.

    Payback hat mich danach angerufen und mit 5.000 Punkte angeboten!!!!!
    Wurde von mir dankend abgelehnt!

    Antworten
  4. Mir wurden 19190 Punkte geklaut über Soforteinlösung bei Aral sonstwo. Keine Phishingmail erhalten, Passwörter regelmäßig gewechselt und auch verschieden! Angeblich selber Schuld.

    Antworten
  5. Mir wurden ebenfalls 1500 und 1900 Punkte über Rewe gestohlen. Den bereits erwähnten Brief von Payback habe ich schon bekommen. In dem beteuert Payback nur noch einmal keine Schuld an alledem zu tragen.
    Payback kann aber wenigstens einen Auszug generieren in welchem Markt die Einlösung stattgefunden hat.

    Antworten
  6. Mir wurden am 5.1. 1800 Punkte von irgendeinem Rewe Markt abgezogen! Ich kann nicht sehen in welchem. Eigentlich steht immer der Name des Rewe Marktes bei Abzug. Nur ich habe eine Karte und Öffne keine komischen anderen Mails. Ich habe Payback kontaktiert und sie haben erstmal mein Konto gesperrt und ich soll wohl einen Brief bekommen. Ich bin gespannt.

    Antworten

Schreibe einen Kommentar