Tausende Payback-Konten von Betrügern geplündert

Durch eine Sicherheitslücke beim beliebten Payback Rabattportal wurden bereits mehr als 5.000 Payback-Konten leergeräumt. Der Punkte Diebstahl läuft dabei immer nach einem ähnlichen Muster ab. Die Betrüger erlangen auf noch unbekannte Art Zugriff auf das Payback-Konto und erstellen mit dem Guthaben auf dem Konto einen Einkaufsgutschein für die Einlösung z.B. bei REWE, dm oder ARAL. Dort wird dann für einen Kleinbetrag eingekauft und der Rest des Gutscheins in Bar ausgezahlt.

Die Pressesprecherin von Payback betont:

„Wir haben keinen Fremdeingriff auf Payback-Systeme festgestellt. Niemand hat direkten Zugriff auf unsere Daten. Die Sicherheitsprobleme liegen nicht bei uns“

Tatsächlich stellen sich gleich mehrere Fragen, die Payback aktuell nicht beantworten kann und möchte. Die geschädigten Payback-Kunden haben auffällig oft ein hohes Punkteguthaben verloren. Die Betrüger scheinen also gezielt Payback-Konten mit hohem Punkteguthaben im Visier zu haben. Dies würde jedoch voraussetzen, dass es bei Payback durchaus ein allgemeines Datenleck gab oder noch gibt. Für die Einlösung bei einigen Partnern, wie z.B. Rewe ist eine Payback-Karte notwendig. Die Bar-Auszahlung des Guthabens in der Partnerfiliale ist ausgeschlossen.

Die Sicherheitsvorkehrungen von Payback sind absolut unzureichend. Payback sendet dem Kontoinhaber nach erfolgter Einlösung der Punkte eine Email, dass die Punkte erfolgreich eingelöst wurden. Zu diesem Zeitpunkt ist es jedoch leider bereits zu spät um den Betrug noch stoppen zu können. Dabei gäbe es für Payback den aktuellen Betrug mit einfachen Methoden zu verhindern.

  • Eine Einlösung der Punkte sollte nur bei Vorlage der Payback-Karte möglich sein.
  • Keine Barauszahlung des restlichen Gutscheinwertes, der über dem Kaufbetrag liegt.
  • Die Erstellung eines Gutscheins muss über eine Handy-Pin bestätigt werden.
  • Payback-Kunden über jeden vergeblichen Log-In Versuch per Email zu informieren und die Änderung der Zugangsdaten zu empfehlen.
  • Den Login-Bereich besser absichern. Eine vierstellige Pin ist zu leicht zu hacken.

Völlig unverständlich ist es, warum Payback es den Partner-Filialen ermöglicht beim Einkauf z.B. einer Packung Kaugummi die Differenz des Gutscheins teilweise im hohen dreistelligen Betrag in bar auszuzahlen. Es ist dringend erforderlich die Einlösebedingungen für Einkaufsgutscheine anzupassen. Ggf. sollten Gutscheine über einem bestimmten Schwellwert auch nur per Post versendet werden und nicht an einem Kundenterminal ausgedruckt oder per Email verschickt werden.

Was Geschädigte jetzt unbedingt tun sollten

    • Betroffene sollten unbedingt sofort Passwort und Pin ändern. Sofern Sie noch nicht auf Pin umgestellt haben, sollten Sie dies aktuell auch nicht tun. Für die Betrüger ist es einfacher eine vierstellige Pin zu hacken, als das Geburtsdatum und die Postleitzahl des Wohnorts.
    • Melden Sie dem Payback-Kundenservice umgehend den Fremdzugriff und fordern Sie die Gutschrift der gekauten Payback-Punkte
    • Erstatten Sie zudem in jedem Fall bei der örtlichen Polizeidienststelle oder der Internetwache des Bundeslandes Strafanzeige! Sofern Sie telefonisch Kontakt mit dem Kundenservice hatten, fragen Sie nach dem Ort der Einlösung. Diese Information kann bei Payback der Mitarbeiter einsehen, teilweise wird die Auskunft jedoch verweigert. Übergeben Sie sämtliche Informationen Screenshot vom Punktekonto, Email über die Einlösung des Punkteguthabens und ggf. die Informationen zum Einlöseort und Zeit an die Polizei.

Payback wurde um eine Stellungnahme gebeten. Eine Antwort auf unsere Fragen liegt uns aktuell noch nicht vor. Sobald wir eine Rückmeldung erhalten, werden wir hier den Beitrag ergänzen.

Weitere Informationen zum Thema finden Sie bei sternTV, der Abendzeitung München.

UPDATE 29.11.2016: Frau Katharina Sommer von Payback hat uns heute am Beispiel von REWE die Einlösung des Guthabens schriftlich mitgeteilt:

… Die PAYBACK Punkte werden umgehend vom Punktekonto abgebucht. Ihr REWE Guthaben wird dann im REWE Kassensystem elektronisch hinterlegt und wird automatisch mit Ihrem nächsten Einkauf verrechnet. Die Verrechnung ist auf Ihrem Kassenbeleg ersichtlich. Bei einer Teileinlösung bleibt der Restbetrag auf Ihrer PAYBACK Karte und wird beim nächsten Einkauf verrechnet. …

Die Betrugsmasche wird dadurch immer mysteriöser. Nach dieser Erklärung müssten die Betrüger die Payback-Karte entwendet haben, gefälschte Payback-Karten besitzen oder sich Ersatzkarten von Payback für fremde Personen an falsche Adressen haben zusenden lassen. Nur mit einer Payback-Karte ist das Guthaben einlösbar.

Darüber hinaus kann ein Restguthaben nicht ausgezahlt werden, sondern verbliebe weiterhin auf der Payback-Karte. Eine Auszahlung in bar ist somit ausgeschlossen! Sofern die Partnerfiliale dennoch das Guthaben in bar auszahlt ist dies ein klarer Verstoß gegen die Einlösebedingungen. In diesem Fall könnte sich die Partner-Filiale gegenüber dem geschädigten Payback-Kunden unter Umständen haftbar gemacht haben. Stutzig sollten Sie werden, wenn kurz nach der Umwandlung Ihres Punkteguthabens, eine Gutschrift über einzelne Punkte beim jeweiligen Partner erfolgte. Das Restguthaben müsste dann eigentlich noch auf der Payback-Karte vorhanden sein, oder es wurde unrechtmäßig von der Partner-Filiale ausgezahlt.

… Die Barauszahlung des Guthabens ist ausgeschlossen. Das Guthaben ist 36 Monate gültig, ein Umtausch oder eine Rückgabe ist nicht möglich. …

Falls Sie nur eine Gutschrift über einzelne Punkte beim der betrügerischen Einlösung Ihres Punkteguthabens erhalten haben, sollten Sie möglichst zeitnah prüfen, ob das Restguthaben noch auf Ihrer Karte vorhanden ist.

… Am REWE Servicepunkt können Sie jederzeit die Höhe des Guthabens, und die Einlösebedingungen einsehen. …

Wichtig zu wissen ist zudem, dass an den Payback-Service Terminals bei Rewe bis zu 500 Euro auf die Payback-Karte geladen werden können. Online können dagegen nur 20 Euro eingelöst werden. Bei höherem Guthaben scheint somit zumindest bei Rewe der Betrug über einen Service-Terminal erfolgt zu sein.

… Der Maximalbetrag, welcher vor Ort aufgeladen werden kann beträgt 500 Euro, online können maximal 20 Euro aufgeladen werden. …

Lösen Sie das Restguthaben ggf. selbst ein, oder fordern Sie Payback um umgehende Rückbuchung auf Ihr Payback-Konto auf. Fordern Sie Payback zudem auf darzulegen, ob eine Ersatzkarte beantragt und ggf. wohin diese versendet wurde. Zudem sollten Sie von Payback Auskunft darüber verlangen, in welcher Filiale zu welcher Zeit die Punkte eingelöst wurden und über welche IP-Adresse die Einlösung des Punkteguthabens erfolgte. Stellen Sie in jedem Fall Strafanzeige und übergeben sämtliche Rechercheergebnisse der Polizei. Geben Sie zudem bei Ihrer Anzeige einen Hinweis auf das Ausmaß der Betrugsmasche. Aktuell wurden bereits mehr als 5.000 Payback-Konten geplündert. Die Dunkelziffer dürfte dabei wesentlich höher liegen.

Die große Anzahl der Geschädigten (bereits über 5.300 bestätigte Fälle) und die überwiegend hohen erbeuteten Beträge wecken erhebliche Zweifel an der offiziellen Stellungnahme von Payback, dass kein Sicherheitsproblem bei Payback vorliegt. Die statistische Wahrscheinlichkeit tendiert gegen Null, dass in kurzer Zeit eine so große Kundenzahl Opfer einer Phising-Attacke wurde, dagegen keine weiteren Schäden bei anderen Onlinehändlern, Onlinebanking etc. bei diesen Personen aufgetreten sind.

Auch wenn Sie aktuell nicht betroffen sind. Ändern Sie ggf. Ihre Zugangsdaten. Sparen Sie Ihr Guthaben nicht zu lange auf, sondern lösen Sie Ihr Guthaben wenn möglich ein bevor das Punktekonto zu lukrativ für Betrüger wird. Es gibt klare Anzeichen dafür, dass die Betrüger es vor allem auf Konten mit erheblichen Guthaben abgesehen haben.

Unkommentiert möchte ich zum Abschluss noch dieses Statement aus den Kommentaren der Abendzeitung München nicht unerwähnt lassen:

kürzlich habe ich in einem DM-Markt ein Gespräch einer älteren Kundin mit der Kassiererin mitbekommen. Die ältere Dame war offensichtlich nicht im WWW angemeldet mit ihrer Karte und hat sich bei der Kassiererin erkundigt, wie es denn sein könne, daß von ihrer Paybackkarte die Punkte „verschwinden“ – sie hatte nur noch paar Punkte drauf – hatte aber seit Jahren gesammelt und nun diese Punkte vermisst. Also – gibt wohl ne Sicherheitslücke bei Payback – sagen tun die das sicher nicht laut.

UPDATE 08.01.2017: Es gibt erste Hinweise darauf, dass die Betrugsmasche über den Log-In mit Geburtsdatum und Postleitzahl funktioniert. Das Sicherheitsleck könnte demnach auch bei einem Payback-Partner liegen. Wurde dort das Kundenkonto gehackt wurden eventuell Payback-Nummer, Geburtsdatum und die Anschrift, also die Postleitzahl entwendet. Falls auch Ihre Payback Punkte gestohlen wurden, schreiben Sie bitte anonym als Kommentar, bei welchen Partnern Sie regelmäßig Payback-Punkte gesammelt haben und welche dieser Partner ggf. Ihre Anschrift mit Geburtsdatum gespeichert haben (also vermutlich Onlineshops!). Vielleicht lässt sich so ein Muster erkennen, dass alle Betroffene bei einem Partner Kunde waren.

UPDATE 01.03.2017: Die Sicherheitslücke könnte auch Ihre Papiermülltonne sein. Werfen Sie die Werbesendungen von Payback ungeschreddert in den Müll? Sofern Sie noch nicht auf die Passwort-Verifizierung umgestiegen sind, können die Betrüger dadurch problemlos zwei von drei nötigen Bestandteile für den Log-In ermitteln. In den Werbemails findet sich neben der Anschrift im Adressfeld auch rechts oben die vollständige Kundennummer! Werfen Sie daher die Payback-Werbepost nicht ungeschreddert in den Müll. Das fehlende Geburtsdatum kann in vielen Fällen über zahlreiche Adresshändler ziemlich preiswert eingekauft werden.

UPDATE 22.03.2017: Einige Nutzer berichten, dass auch nach Umstieg auf die Passwort-Legitimation, bzw. nach Entfernung des Geburtsdatums noch Fremdzugriffe auf das Payback-Konto erfolgten. In diesen Fällen besteht weiterhin die Möglichkeit sich mit der PIN-Nummer bei den Service-Points einzuloggen. Daher sollte unbedingt auch diese Schwachstelle durch Änderung der Pin beseitigt werden!

Um die Sicherheit für das Payback-Konto zu verbessern, sollten Sie zeitnah auf den Log-In mit einem starken Passwort (mindestens 8-10 Zeichen mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen) umsteigen.

Dies erfolgt im Payback Kundenbereich über den Menüpunkt „Meine Zugangsdaten“. Sobald Sie ein Passwort eingerichtet haben, kann online kein Log-In mehr über das Geburtsdatum und die Postleitzahl oder die vierstellige Pin-Nummer erfolgen! Zusätzlich sollten Sie immer auch die vierstellige Pin-Nummer ändern. Die Pin-Nummer kann am REWE Servicepunkt weiterhin genutzt werden!

UPDATE 24.04.2022: Seit einiger Zeit unterstellt Payback dem Kunden im Falle von geplünderten Payback-Konten pauschal selbst Schuld zu sein. Ein Sicherheitsproblem wird konsequent bestritten und gestohlene Punkte auch nicht mehr nach Einzelfallprüfung erstattet. Ich habe daraufhin am 13.03.2022 und 03.04.2022 den externen Datenschutzbeauftragten der Payback GmbH Dr. Robert Selk über die Payback-Sicherheitslücke informiert und die Abschaltung der unsicheren Legitimationsmethode (Kundennummer + PLZ + Geburtsdatum) gefordert. Die erste E-Mail wurde zu meiner Enttäuschung vom Payback-Kundenservice nach dem bekannten Muster beantwortet. Auf die erneute E-Mail erhielt ich dann eine direkte Antwort von Herrn Dr. Selk in der endlich in Aussicht gestellt wurde, dass die Payback GmbH die vollständige Umstellung der Login-Methode auf E-Mail und Passwort plant. Leider teilte er in seiner E-Mail jedoch auch mit, dass Payback weiterhin bei der Behauptung bleibt, dass dieses Login-Verfahren kein Risikofaktor darstellt und die Verwendung von schwachen oder identischen Passwörtern Grund für die Punkteeinlösung sein sollen.

Diese Auffassung steht im Widerspruch zu den vorliegenden Erkenntnissen. Die Polizei hat bereits vereinzelt Täter ermittelt und im Zuge der Ermittlungen wurde festgestellt, dass die Täter für den Punkteklau das Passwort nicht benötigten!

Es gibt im Internet/Darknet diverse Quellen in denen Anleitungen und Datensätze gekauft werden können um Payback-Konten zu plündern. Aus den Unterlagen geht hervor, dass dafür nur Kundennummer, PLZ und Geburtsdatum benötigt werden.

Die notwendigen Informationen für einen Punkteklau sind für Kriminelle leider viel zu leicht zu ermitteln. Die Werbebriefe von Payback enthalten bereits die Kundennummer und die Postleitzahl. Als Bonus liefert Payback sogar noch ein ziemlich aktueller Punktestand, so dass Kriminelle gleich sehen können, ob sich ein Betrugsversuch lohnt. Das fehlende Geburtsdatum kann in vielen Fällen relativ einfach z.B. über frei zugängliche Internetdienste (z.B. Facebook, Xing, Linkedin), Adressbeständen aus Gewinnspielteilnahmen oder Datenlecks bzw. gehackte Datenbeständen ermittelt werden. Werbepost von Payback gehört deshalb grundsätzlich nur geschreddert ins Altpapier.

Aber auch die Umstellung auf ein sicheres Passwort verhindert den Punkteklau in vielen Fällen nicht. Es gibt bestätigte Fälle in denen die Payback-Hotline auf Zuruf Passwörter ändert und das neue Passwort an eine nicht verifizierte/hinterlegte Handynummer schickt. Beim Punkteklau bei Payback-Partnern können in vielen Fällen zudem die Punkte an der Kasse auch eingelöst werden, ohne das Payback Passwort kennen zu müssen.

Seit Oktober 2021 wurde die Zwei-Faktor-Authentisierung (2FA) eingeführt. So kann die Sicherheit für das Payback-Konto erheblich erhöht werden. Nach aktuellem Kenntnisstand soll auf diese Weise der Punkteklau über Kundennummer + PLZ + Geburtsdatum nicht mehr möglich sein. Daher wird dringend empfohlen das 2FA-Verfahren in der Payback-App zu aktivieren.

An dieser Stelle möchte ich allen Betroffenen eine sehr lesenswerte Diskussion zum Thema aus der Facebook Gruppe „Payback Geschädigte“ empfehlen. Sind Sie von der Payback Sicherheitslücke betroffen empfehle ich Ihnen zudem Strafanzeige zu erstatten und den Fall an den externen Datenschutzbeauftragten Dr. Robert Selk und das Bayerische Landesamt für Datenschutzaufsicht zu melden. Weitere mögliche Adressaten sind das Landesamt für Sicherheit in der Informationstechnik und die Verbraucherzentrale Bundesverband.

UPDATE 14.01.2024: Aufmerksame Payback Nutzern wird es bereits aufgefallen sein. Payback räumt in den aktuellen Werbebriefen mit der Zusendung der Aktions-Coupons endlich ein, dass die Punkteeinlösung mit Geburtsdatum und Postleitzahl bei Payback-Partnern unsicher ist. Weiter wird mitgeteilt, dass diese Form der Legitimierung in Kürze eingestellt werden soll. Hat ja auch nur 6 Jahre gedauert, seit wir erstmals hier im Block über diese Sicherheitslücke berichtet haben. Allerdings lässt Payback das endgültige Einstellungsdatum leider weiterhin offen. Zu groß scheint immer noch die Angst zu sein, dass viele Payback-Nutzer dem Dienst den Rücken kehren. Noch können die Betrüger somit Payback-Konten leer räumen. Bleibt nur zu hoffen, dass Payback alle Geschädigte für Punkteverluste ohne lange Diskussion entschädigt.

Wer noch nicht die 2-Schritt-Verifizierung oder eine Wunsch-PIN vergeben hat, muss dies jetzt kurzfristig nachholen um weiterhin Punkte vor Ort einlösen zu können. Auf der Homepage informiert Payback auf der Kampagnenseite https://www.payback.de/kontoschutz seine Kunden wie folgt:

Worum geht’s? Bald kannst du deine gesammelten PAYBACK °Punkte nicht mehr mit Geburtsdatum & Postleitzahl an der Kasse einlösen.

Payback Kontaktmöglichkeiten
Den Kundenservice von Payback erreichen Sie unter der Telefonnummer 089 540208020 von Montag bis Samstag in der Zeit von 8 bis 20 Uhr. Per Fax: 0180 5055108 (0,14 €/Min. aus dem deutschen Festnetz, max. 0,42 €/Min. aus dem Mobilfunk).

Payback Punkte in Bargeld einlösen
Die Payback-Punkte können ab 200 einlösbarer Punkte auch jederzeit auf ein Bankkonto ausgezahlt werden. Eine Anleitung, wie die Payback Punkte auszahlen finden Sie in unserem weiteren Blogbeitrag.

Sparfuchs

View Comments

  • Mein Punktekonto wurde am 02.01.2017 geplündert.
    Frechheit das Payback keine Warnung versandt hat, somit hätte ich die Punkte einlösen können.
    Auf der Payback Seite keine Rufnummer angegeben um so was schnell melden zu können.

    • Mein Paybackkonto wurde um 22.000 Punkte (220 Euro) erleichtert. Dies soll bei REWE passiert sein obwohl ich nie bei REWE einkaufe. Meine Paybackkarte habe ich nie aus der Hand gegeben. Meine Zugangsdaten kenne nur ich und habe diese nirgends hinterlegt. Habe den Vorgang 10 Minuten nachdem ich von Payback eine Mail erhielt in der man mir gratulierte, dass ich 22.000 Punkte bei Rewe eingelöst hätte. Da Payback tel nicht erreichbar war habe ich diese Meldung per Fax geschickt und per email. Erst 3 Tage später wurde ohne Kommentar mein Konto gesperrt! Ganze 3 Wochen später erhielt ich von Payback ein Schreiben. Auf gut Deutsch sind alle, die betroffen sind einfach dumm und haben ihre Daten nicht geschützt. Payback weigert sich, die Punkte zurück zu überweisen, gibt nicht bekannt, in welcher Rewe Filiale meine Punkte eingelöst wurden. Sollten diese Online entwendet worden sein, so rückt Payback nicht mit der IP Nummer des Jenigen raus, der mein Konto geplündert hat. Payback redet sich um Kopf und Kragen weil die genau wissen, dass es bei Payback Sicherheitslücken bestehen. Klar, dass die es nicht zugeben werden. Der Imageschaden gegenüber den Paybackpartnern wäre fatal. Ich habe bei der Polizei Anzeige erstattet. In Baden Württemberg geht das auch online. Nur so wird Payback unter Druck gesetzt werden können. Auch habe ich alle Paybackpartner angeschrieben, bei denen ich regelmässig Punkte sammle und auf diese Vorfälle hingewiesen. Wenn das viele Betroffene tun, so werden die Paybackpartner hellhörig werden denn wir sind nicht Paybackkkunden sondern Kunde der Paybackpartner! Bitte zeigt solche Fälle bei der Polizei an. Wie gesagt es geht online, kostet nur wenige Minuten und ist nicht mit Kosten verbunden. Macht Druck! Schreibt die Paybackpartner direkt an, beschreibt, wie der Sachverhalt ist. Für Payback ist der schlimmst anzunehmende Fall, dass Paybackpartner aus dem System aussteigen wenn Kunden um ihre Punkte betrogen werden nur weil es Sicherheitslücken gibt. Schreibt den Paybackpartnern ruhig, dass die Paybackpunkte durchaus ein großer Anreiz ist, da einzukaufen aber wenn die Sicherheitslücken deutlich sind so überlege man eben keine Paybackkarte mehr einzusetzen. Es gibt ja auch noch z.b.die Deutschlandcard. Bitte erstattet Anzeige

      • @Jahnke: gegen wen hast du Anzeige erstattet? gegen den Payback-Partner REWE (dort wurden die Punkte eingelöst) oder gegen Payback direkt (weil dort die Sicherheitslücken bestehen)?
        Ich hatte am 04.01.2017 eine Email erhalten, dass 27.100 °P eingelöst wurden und als REWE Guthaben auf meiner PAYBACK Karte seien. Eine Woche später teilte mir Payback schriftlich mit, dass am REWE Service Punkt ein Wertscheck! ausgestellt wurde. Ich interpretiere das so, dass quasi ein "Barscheck" ausgestellt wurde, der - ohne meine Payback-Hauptkarte - an der Kasse eingelöst werden konnte (eventuell sogar mit Barauszahlung des Restguthaben). Das wäre ein eklatanter Verstoß gegen die AGB von Payback (über die Punkte kann nur der Hauptsammler bzw. der Eigentümer der Hauptkarte verfügen). Wie war das bei dir? Was steht in deiner "Glückwunsch"-Email? auch "Ihre eingelösten Punkte wurden digital auf Ihrer PAYBACK Karte hinterlegt"?

        • Hallo Archenoah,

          mir wurde gratuliert, dass ich 22000 Punkte bei Rewe eingelöst habe, dieser Betrag auf der Paybackkarte gut geschrieben wurde. Trotz Aufforderung teilte mir Payback nicht mit, bei welchem Rewe Markt die Punkte eingelöst wurden. Ich habe Onlineanzeige gegen Unbekannt erstattet. Zwischenzeitlich hat sich Payback gemeldet. Fazit: die vielen Tausenden Geschädigte sind einfach zu blöd und haben ihre Zugangsdaten nicht ausreichend geschützt. Eine Erstattung wird abgelehnt. Es kam im november bei Stern TV bezüglich Payback Punkteklau eine Sendung. Ich habe auch RTL angeschrieben und den ganzen Schriftverkehr zugeschickt mit der Bitte an der Sache "payback" dran zu bleiben. Ich nerve Payback noch Monate wenn es sein muss. Jeder Geschädigte sollte Online Anzeige erstatten. Das beschäftigt Payback da Payback auf jede Anzeige einzeln eine Stellungnahme abgeben muss. Der Ruf von Payback wird bei den Paybackpartnern Schaden nehmen. Die geschädigten nur für dumm zu erklären ist deren Masche. Onlineanzeigen kosten nichts! Nur wenn alle Anzeige erstatten werden die Paybackpartner hellhörig werden

  • Mein Konto wurde am 30.12. geleert.
    Payback scheint da ein ganz großes Problem zu haben.

    Kein Pishingmail, kein unsicheres Kennwort kein geknackter Rechner oder Account.

    Tipp: Beim Anruf "Reklamation" sagen dann wird man verbunden.

    Ich kann nur jedem raten seine Punkte so schnell wie möglich selber zu benutzen.

    • Ich habe die Punkte aus Kulanz erstattet bekommen.
      Habe dann den Betrag gleich auf mein Konto überwiesen.

  • Es gibt erste Hinweise darauf, dass die Betrugsmasche über den Log-In mit Geburtsdatum und Postleitzahl funktioniert. Das Sicherheitsleck könnte demnach auch bei einem Payback-Partner liegen. Wurde dort das Kundenkonto gehackt wurden eventuell Payback-Nummer, Geburtsdatum und die Anschrift, also die Postleitzahl entwendet. Falls auch Ihre Payback Punkte gestohlen wurden, schreiben Sie bitte anonym als Kommtentar, bei welchen Partnern Sie regelmäßig Payback-Punkte gesammelt haben und welche dieser Partner ggf. Ihre Anschrift mit Geburtsdatum gespeichert haben (also vermutlich Onlineshops!). Vielleicht lässt sich so ein Muster erkennen, dass alle Betroffene bei einem Partner Kunde waren.

  • Ja ich bin sicher das da ein Loch klafft.
    Aral, ebay, Amex waren die letzten vor dem Punkteschwund

  • P.S.: Anzeige habe ich erstattet. Ich bin mal gespannt was weiter passiert. Ich halte es wirklich für ein großes Sicherheitsproblem.

  • Ich habe meine Paybackkarte regelmässig bei ARAL, bei DM und Galeria Kaufhof eingesetzt.

  • Hatte am 04.01.2017 selbst noch bei REWE eingekauft (wegen 0,70€ die PAYBACK Karte aber nicht vorgelegt). Kurze Zeit später eine Email erhalten, dass 27.100 °P eingelöst wurden und als REWE Guthaben auf meiner PAYBACK Karte seien. Online meine PAYBACK Punktestand gecheckt, tatsächlich: minus 27.100 °P, eingelöst bei REWE. Login sofort geändert; PAYBACK versucht, telefonisch zu erreichen; Sprachcomputer sah sich nicht in der Lage, mich mit einem Menschen zu verbinden; Fax geschrieben; am nächsten Tag war mein Konto gesperrt; am 05.01. Email von PAYBACK: "Ihre Anfrage ist in besten Händen. ..... Wir informieren Sie innerhalb von 4 Wochen ....."; am 10.01. Brief von PAYBACK: ".... Ihre 27100 Punkte wurden am 04.01.2017 als Wertscheck bei REWE eingelöst. ..... und geben Ihnen innerhalb von 8 Wochen eine Rückmeldung."; nächstes Fax von mir: " was denn nun: Einlösen meiner Punkte als REWE Guthaben auf meiner Karte oder als Wertscheck?" Ein Wertscheck wäre quasi wie ein Barscheck ohne Vorlegen der PAYBACK Hauptkarte an der Kasse einlösbar und das würde gegen die Sicherheitsbestimmungen und damit gegen die AGB von PAYBACK verstoßen bzw. gegen die Darstellung des Verfahrens auf den REWE Payback Seiten "REWE Service-Punkt"
    Bin gespannt auf deren Antwort!
    Werde auf jeden Fall jetzt dann noch bei der Polizei Anzeige erstatten.

  • Soeben festgestellt: 6.150 Punkte bei einem D-Markt geplündert. Frechheit!!!

    Die meisten Punkte habe ich bei REWE und DM gesammelt.

  • In einigen Einzelfällen hat Payback gegenüber dem Geschädigten zugegeben, dass er keine Schuld an dem Punktediebstahl hat und die Punkte aus Kulanz wieder dem Payback-Konto gutgeschrieben. In diesen Fällen wurde dann auch immer das Geburtsdatum im Payback-Konto entfernt. Payback weigert sich aber auch in diesen Fällen nähere Angaben zu machen.

    Das deutet darauf hin, dass die Betrüger die Schwachstelle Geburtsdatum + Postleitzahl nutzen um Zugriff auf die Payback-Konten zu erhalten. Warum Payback diese Log-In Möglichkeit nicht komplett deaktiviert bleibt unklar.

Recent Posts

Woran erkenne ich einen Fake-Shop?

Der Onlinehandel ist in den letzten Jahren immer beliebter geworden. Das liegt nicht zuletzt an…

1 Jahr ago

Clown Kostüme – Kreative Designs und Höchste Qualität bei Kostüm Planet

Ein fröhliches Lachen, verspielte Streiche und bunte Farben - Clowns bringen uns zum Lachen und…

1 Jahr ago

Nachhaltigkeit geht auch im Onlineshop

Viele Kritiker vom Onlineshopping bemängeln eine mangelnde Nachhaltigkeit beim Einkauf im Internet. Aber ist das…

2 Jahren ago

Wo finde ich die besten Gutscheincodes?

Gutscheine erfreuen sich bei den Kunden einer sehr großen Beliebtheit. Dies gilt für Rabatte ebenso…

3 Jahren ago

Spielvorlagen zum Ausdrucken

Es gibt zahlreiche klassische Spiele wie zum Beispiel das Kartenspiel Phase10 von Mattel oder das…

3 Jahren ago

Bis zu 10 Euro Cashback – Die neue Visa Online-Geld-zurück-Aktion!

Nach der regelmäßigen Geld-zurück-Aktion von VISA gibt es jetzt eine neue Aktion, die speziell für…

3 Jahren ago