„Wir haben keinen Fremdeingriff auf Payback-Systeme festgestellt. Niemand hat direkten Zugriff auf unsere Daten. Die Sicherheitsprobleme liegen nicht bei uns“<\/p><\/blockquote>\n
Tats\u00e4chlich stellen sich gleich mehrere Fragen, die Payback aktuell nicht beantworten kann und m\u00f6chte. Die gesch\u00e4digten Payback-Kunden haben auff\u00e4llig oft ein hohes Punkteguthaben verloren. Die Betr\u00fcger scheinen also gezielt Payback-Konten mit hohem Punkteguthaben im Visier zu haben. Dies w\u00fcrde jedoch voraussetzen, dass es bei Payback durchaus ein allgemeines Datenleck gab oder noch gibt. F\u00fcr die Einl\u00f6sung bei einigen Partnern, wie z.B. Rewe ist eine Payback-Karte notwendig. Die Bar-Auszahlung des Guthabens in der Partnerfiliale ist ausgeschlossen.<\/p>\n
Die Sicherheitsvorkehrungen von Payback sind absolut unzureichend. Payback sendet dem Kontoinhaber nach erfolgter Einl\u00f6sung der Punkte eine Email, dass die Punkte erfolgreich eingel\u00f6st wurden. Zu diesem Zeitpunkt ist es jedoch leider bereits zu sp\u00e4t um den Betrug noch stoppen zu k\u00f6nnen. Dabei g\u00e4be es f\u00fcr Payback den aktuellen Betrug mit einfachen Methoden zu verhindern.<\/p>\n
- \n
- Eine Einl\u00f6sung der Punkte sollte nur bei Vorlage der Payback-Karte m\u00f6glich sein.<\/li>\n
- Keine Barauszahlung des restlichen Gutscheinwertes, der \u00fcber dem Kaufbetrag liegt.<\/li>\n
- Die Erstellung eines Gutscheins muss \u00fcber eine Handy-Pin best\u00e4tigt werden.<\/li>\n
- Payback-Kunden \u00fcber jeden vergeblichen Log-In Versuch per Email zu informieren und die \u00c4nderung der Zugangsdaten zu empfehlen.<\/li>\n
- Den Login-Bereich besser absichern. Eine vierstellige Pin ist zu leicht zu hacken.<\/li>\n<\/ul>\n
V\u00f6llig unverst\u00e4ndlich ist es, warum Payback es den Partner-Filialen erm\u00f6glicht beim Einkauf z.B. einer Packung Kaugummi die Differenz des Gutscheins teilweise im hohen dreistelligen Betrag in bar auszuzahlen. Es ist dringend erforderlich die Einl\u00f6sebedingungen f\u00fcr Einkaufsgutscheine anzupassen. Ggf. sollten Gutscheine \u00fcber einem bestimmten Schwellwert auch nur per Post versendet werden und nicht an einem Kundenterminal ausgedruckt oder per Email verschickt werden.<\/p>\n
Was Gesch\u00e4digte jetzt unbedingt tun sollten<\/strong><\/p>\n
- \n
- \n
- \n
- Betroffene sollten unbedingt sofort Passwort und Pin \u00e4ndern. Sofern Sie noch nicht auf Pin umgestellt haben, sollten Sie dies aktuell auch nicht tun. F\u00fcr die Betr\u00fcger ist es einfacher eine vierstellige Pin zu hacken, als das Geburtsdatum und die Postleitzahl des Wohnorts.<\/li>\n
- Melden Sie dem Payback-Kundenservice umgehend den Fremdzugriff und fordern Sie die Gutschrift der gekauten Payback-Punkte<\/li>\n
- Erstatten Sie zudem in jedem Fall bei der \u00f6rtlichen Polizeidienststelle oder der Internetwache des Bundeslandes Strafanzeige!<\/strong> Sofern Sie telefonisch Kontakt mit dem Kundenservice hatten, fragen Sie nach dem Ort der Einl\u00f6sung. Diese Information kann bei Payback der Mitarbeiter einsehen, teilweise wird die Auskunft jedoch verweigert. \u00dcbergeben Sie s\u00e4mtliche Informationen Screenshot vom Punktekonto, Email \u00fcber die Einl\u00f6sung des Punkteguthabens und ggf. die Informationen zum Einl\u00f6seort und Zeit an die Polizei.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Payback wurde um eine Stellungnahme gebeten. Eine Antwort auf unsere Fragen liegt uns aktuell noch nicht vor. Sobald wir eine R\u00fcckmeldung erhalten, werden wir hier den Beitrag erg\u00e4nzen.<\/p>\n
Weitere Informationen zum Thema finden Sie bei sternTV<\/a>, der Abendzeitung M\u00fcnchen<\/a>.<\/p>\n
UPDATE 29.11.2016:<\/strong> Frau Katharina Sommer von Payback hat uns heute am Beispiel von REWE die Einl\u00f6sung des Guthabens schriftlich mitgeteilt:<\/p>\n
… Die PAYBACK Punkte werden umgehend vom Punktekonto abgebucht. Ihr REWE Guthaben wird dann im REWE Kassensystem elektronisch hinterlegt und wird automatisch mit Ihrem n\u00e4chsten Einkauf verrechnet. Die Verrechnung ist auf Ihrem Kassenbeleg ersichtlich. Bei einer Teileinl\u00f6sung bleibt der Restbetrag auf Ihrer PAYBACK Karte und wird beim n\u00e4chsten Einkauf verrechnet. …<\/p><\/blockquote>\n
Die Betrugsmasche wird dadurch immer mysteri\u00f6ser. Nach dieser Erkl\u00e4rung m\u00fcssten die Betr\u00fcger die Payback-Karte entwendet haben, gef\u00e4lschte Payback-Karten besitzen oder sich Ersatzkarten von Payback f\u00fcr fremde Personen an falsche Adressen haben zusenden lassen. Nur mit einer Payback-Karte ist das Guthaben einl\u00f6sbar.<\/p>\n
Dar\u00fcber hinaus kann ein Restguthaben nicht ausgezahlt werden, sondern verbliebe weiterhin auf der Payback-Karte. Eine Auszahlung in bar ist somit ausgeschlossen!<\/strong> Sofern die Partnerfiliale dennoch das Guthaben in bar auszahlt ist dies ein klarer Versto\u00df gegen die Einl\u00f6sebedingungen. In diesem Fall k\u00f6nnte sich die Partner-Filiale gegen\u00fcber dem gesch\u00e4digten Payback-Kunden unter Umst\u00e4nden haftbar gemacht haben. Stutzig sollten Sie werden, wenn kurz nach der Umwandlung Ihres Punkteguthabens, eine Gutschrift \u00fcber einzelne Punkte beim jeweiligen Partner erfolgte. Das Restguthaben m\u00fcsste dann eigentlich noch auf der Payback-Karte vorhanden sein, oder es wurde unrechtm\u00e4\u00dfig von der Partner-Filiale ausgezahlt.<\/p>\n
… Die Barauszahlung des Guthabens ist ausgeschlossen. Das Guthaben ist 36 Monate g\u00fcltig, ein Umtausch oder eine R\u00fcckgabe ist nicht m\u00f6glich. …<\/p><\/blockquote>\n
Falls Sie nur eine Gutschrift \u00fcber einzelne Punkte beim der betr\u00fcgerischen Einl\u00f6sung Ihres Punkteguthabens erhalten haben, sollten Sie m\u00f6glichst zeitnah pr\u00fcfen, ob das Restguthaben noch auf Ihrer Karte vorhanden ist.<\/p>\n
… Am REWE Servicepunkt k\u00f6nnen Sie jederzeit die H\u00f6he des Guthabens, und die Einl\u00f6sebedingungen einsehen. …<\/p><\/blockquote>\n
Wichtig zu wissen ist zudem, dass an den Payback-Service Terminals bei Rewe bis zu 500 Euro auf die Payback-Karte geladen werden k\u00f6nnen. Online k\u00f6nnen dagegen nur 20 Euro eingel\u00f6st werden. Bei h\u00f6herem Guthaben scheint somit zumindest bei Rewe der Betrug \u00fcber einen Service-Terminal erfolgt zu sein.<\/p>\n
… Der Maximalbetrag, welcher vor Ort aufgeladen werden kann betr\u00e4gt 500 Euro, online k\u00f6nnen maximal 20 Euro aufgeladen werden. …<\/p><\/blockquote>\n
L\u00f6sen Sie das Restguthaben ggf. selbst ein, oder fordern Sie Payback um umgehende R\u00fcckbuchung auf Ihr Payback-Konto auf. Fordern Sie Payback zudem auf darzulegen, ob eine Ersatzkarte beantragt und ggf. wohin diese versendet wurde. Zudem sollten Sie von Payback Auskunft dar\u00fcber verlangen, in welcher Filiale zu welcher Zeit die Punkte eingel\u00f6st wurden und \u00fcber welche IP-Adresse die Einl\u00f6sung des Punkteguthabens erfolgte. Stellen Sie in jedem Fall Strafanzeige und \u00fcbergeben s\u00e4mtliche Rechercheergebnisse der Polizei. Geben Sie zudem bei Ihrer Anzeige einen Hinweis auf das Ausma\u00df der Betrugsmasche. Aktuell wurden bereits mehr als 5.000 Payback-Konten gepl\u00fcndert. Die Dunkelziffer d\u00fcrfte dabei wesentlich h\u00f6her liegen.<\/p>\n
Die gro\u00dfe Anzahl der Gesch\u00e4digten (bereits \u00fcber 5.300 best\u00e4tigte F\u00e4lle) und die \u00fcberwiegend hohen erbeuteten Betr\u00e4ge wecken erhebliche Zweifel an der offiziellen Stellungnahme von Payback, dass kein Sicherheitsproblem bei Payback vorliegt. Die statistische Wahrscheinlichkeit tendiert gegen Null, dass in kurzer Zeit eine so gro\u00dfe Kundenzahl Opfer einer Phising-Attacke wurde, dagegen keine weiteren Sch\u00e4den bei anderen Onlineh\u00e4ndlern, Onlinebanking etc. bei diesen Personen aufgetreten sind.<\/p>\n
Auch wenn Sie aktuell nicht betroffen sind. \u00c4ndern Sie ggf. Ihre Zugangsdaten. Sparen Sie Ihr Guthaben nicht zu lange auf, sondern l\u00f6sen Sie Ihr Guthaben wenn m\u00f6glich ein bevor das Punktekonto zu lukrativ f\u00fcr Betr\u00fcger wird. Es gibt klare Anzeichen daf\u00fcr, dass die Betr\u00fcger es vor allem auf Konten mit erheblichen Guthaben abgesehen haben.<\/p>\n
Unkommentiert m\u00f6chte ich zum Abschluss noch dieses Statement aus den Kommentaren der Abendzeitung M\u00fcnchen nicht unerw\u00e4hnt lassen:<\/p>\n
k\u00fcrzlich habe ich in einem DM-Markt ein Gespr\u00e4ch einer \u00e4lteren Kundin mit der Kassiererin mitbekommen. Die \u00e4ltere Dame war offensichtlich nicht im WWW angemeldet mit ihrer Karte und hat sich bei der Kassiererin erkundigt, wie es denn sein k\u00f6nne, da\u00df von ihrer Paybackkarte die Punkte „verschwinden“ – sie hatte nur noch paar Punkte drauf – hatte aber seit Jahren gesammelt und nun diese Punkte vermisst. Also – gibt wohl ne Sicherheitsl\u00fccke bei Payback – sagen tun die das sicher nicht laut.<\/p><\/blockquote>\n
UPDATE 08.01.2017:<\/strong> Es gibt erste Hinweise darauf, dass die Betrugsmasche \u00fcber den Log-In mit Geburtsdatum und Postleitzahl funktioniert. Das Sicherheitsleck k\u00f6nnte demnach auch bei einem Payback-Partner liegen. Wurde dort das Kundenkonto gehackt wurden eventuell Payback-Nummer, Geburtsdatum und die Anschrift, also die Postleitzahl entwendet. Falls auch Ihre Payback Punkte gestohlen wurden, schreiben Sie bitte anonym als Kommentar, bei welchen Partnern Sie regelm\u00e4\u00dfig Payback-Punkte gesammelt haben und welche dieser Partner ggf. Ihre Anschrift mit Geburtsdatum gespeichert haben (also vermutlich Onlineshops!). Vielleicht l\u00e4sst sich so ein Muster erkennen, dass alle Betroffene bei einem Partner Kunde waren.<\/p>\n
UPDATE 01.03.2017:<\/strong> Die Sicherheitsl\u00fccke k\u00f6nnte auch Ihre Papierm\u00fclltonne sein. Werfen Sie die Werbesendungen von Payback ungeschreddert in den M\u00fcll? Sofern Sie noch nicht auf die Passwort-Verifizierung umgestiegen sind, k\u00f6nnen die Betr\u00fcger dadurch problemlos zwei von drei n\u00f6tigen Bestandteile f\u00fcr den Log-In ermitteln. In den Werbemails findet sich neben der Anschrift im Adressfeld auch rechts oben die vollst\u00e4ndige Kundennummer! Werfen Sie daher die Payback-Werbepost nicht ungeschreddert<\/strong> in den M\u00fcll. Das fehlende Geburtsdatum kann in vielen F\u00e4llen \u00fcber zahlreiche Adressh\u00e4ndler ziemlich preiswert eingekauft werden.<\/p>\n
UPDATE 22.03.2017:<\/strong> Einige Nutzer berichten, dass auch nach Umstieg auf die Passwort-Legitimation, bzw. nach Entfernung des Geburtsdatums noch Fremdzugriffe auf das Payback-Konto erfolgten. In diesen F\u00e4llen besteht weiterhin die M\u00f6glichkeit sich mit der PIN-Nummer bei den Service-Points einzuloggen. Daher sollte unbedingt auch diese Schwachstelle durch \u00c4nderung der Pin beseitigt werden!<\/p>\n
Um die Sicherheit f\u00fcr das Payback-Konto zu verbessern, sollten Sie zeitnah auf den Log-In mit einem starken Passwort (mindestens 8-10 Zeichen mit Gro\u00df- und Kleinschreibung, Zahlen und Sonderzeichen) umsteigen.<\/p>\n
![\"Sicherheit](\"https:\/\/www.amexio.de\/bilder\/payback_zugangsdaten_sicherheit.jpg\")
<\/div>\nDies erfolgt im Payback Kundenbereich \u00fcber den Men\u00fcpunkt „Meine Zugangsdaten“<\/strong>. Sobald Sie ein Passwort eingerichtet haben, kann online kein Log-In mehr \u00fcber das Geburtsdatum und die Postleitzahl oder die vierstellige Pin-Nummer erfolgen! Zus\u00e4tzlich sollten Sie immer auch die vierstellige Pin-Nummer \u00e4ndern. Die Pin-Nummer kann am REWE Servicepunkt weiterhin genutzt werden!<\/p>\n
UPDATE 24.04.2022:<\/strong> Seit einiger Zeit unterstellt Payback dem Kunden im Falle von gepl\u00fcnderten Payback-Konten pauschal selbst Schuld zu sein. Ein Sicherheitsproblem wird konsequent bestritten und gestohlene Punkte auch nicht mehr nach Einzelfallpr\u00fcfung erstattet. Ich habe daraufhin am 13.03.2022<\/a> und 03.04.2022<\/a> den externen Datenschutzbeauftragten der Payback GmbH Dr. Robert Selk \u00fcber die Payback-Sicherheitsl\u00fccke informiert und die Abschaltung der unsicheren Legitimationsmethode (Kundennummer + PLZ + Geburtsdatum) gefordert. Die erste E-Mail wurde zu meiner Entt\u00e4uschung vom Payback-Kundenservice nach dem bekannten Muster beantwortet. Auf die erneute E-Mail erhielt ich dann eine direkte Antwort von Herrn Dr. Selk in der endlich in Aussicht gestellt wurde, dass die Payback GmbH die vollst\u00e4ndige Umstellung der Login-Methode auf E-Mail und Passwort plant. Leider teilte er in seiner E-Mail jedoch auch mit, dass Payback weiterhin bei der Behauptung bleibt, dass dieses Login-Verfahren kein Risikofaktor darstellt und die Verwendung von schwachen oder identischen Passw\u00f6rtern Grund f\u00fcr die Punkteeinl\u00f6sung sein sollen.<\/p>\n
Diese Auffassung steht im Widerspruch zu den vorliegenden Erkenntnissen. Die Polizei hat bereits vereinzelt T\u00e4ter ermittelt und im Zuge der Ermittlungen wurde festgestellt, dass die T\u00e4ter f\u00fcr den Punkteklau das Passwort nicht ben\u00f6tigten!<\/p>\n
Es gibt im Internet\/Darknet diverse Quellen in denen Anleitungen und Datens\u00e4tze gekauft werden k\u00f6nnen um Payback-Konten zu pl\u00fcndern. Aus den Unterlagen geht hervor, dass daf\u00fcr nur Kundennummer, PLZ und Geburtsdatum ben\u00f6tigt werden.<\/p>\n
Die notwendigen Informationen f\u00fcr einen Punkteklau sind f\u00fcr Kriminelle leider viel zu leicht zu ermitteln. Die Werbebriefe von Payback enthalten bereits die Kundennummer und die Postleitzahl. Als Bonus liefert Payback sogar noch ein ziemlich aktueller Punktestand, so dass Kriminelle gleich sehen k\u00f6nnen, ob sich ein Betrugsversuch lohnt. Das fehlende Geburtsdatum kann in vielen F\u00e4llen relativ einfach z.B. \u00fcber frei zug\u00e4ngliche Internetdienste (z.B. Facebook, Xing, Linkedin), Adressbest\u00e4nden aus Gewinnspielteilnahmen oder Datenlecks bzw. gehackte Datenbest\u00e4nden ermittelt werden. Werbepost von Payback geh\u00f6rt deshalb grunds\u00e4tzlich nur geschreddert ins Altpapier.<\/p>\n
Aber auch die Umstellung auf ein sicheres Passwort verhindert den Punkteklau in vielen F\u00e4llen nicht. Es gibt best\u00e4tigte F\u00e4lle in denen die Payback-Hotline auf Zuruf Passw\u00f6rter \u00e4ndert und das neue Passwort an eine nicht verifizierte\/hinterlegte Handynummer schickt. Beim Punkteklau bei Payback-Partnern k\u00f6nnen in vielen F\u00e4llen zudem die Punkte an der Kasse auch eingel\u00f6st werden, ohne das Payback Passwort kennen zu m\u00fcssen.<\/p>\n
Seit Oktober 2021 wurde die Zwei-Faktor-Authentisierung (2FA) eingef\u00fchrt. So kann die Sicherheit f\u00fcr das Payback-Konto erheblich erh\u00f6ht werden. Nach aktuellem Kenntnisstand soll auf diese Weise der Punkteklau \u00fcber Kundennummer + PLZ + Geburtsdatum nicht mehr m\u00f6glich sein. Daher wird dringend empfohlen das 2FA-Verfahren in der Payback-App zu aktivieren.<\/p>\n
An dieser Stelle m\u00f6chte ich allen Betroffenen eine sehr lesenswerte Diskussion zum Thema<\/a> aus der Facebook Gruppe „Payback Gesch\u00e4digte“ empfehlen. Sind Sie von der Payback Sicherheitsl\u00fccke betroffen empfehle ich Ihnen zudem Strafanzeige zu erstatten und den Fall an den externen Datenschutzbeauftragten Dr. Robert Selk<\/a> und das Bayerische Landesamt f\u00fcr Datenschutzaufsicht<\/a> zu melden. Weitere m\u00f6gliche Adressaten sind das Landesamt f\u00fcr Sicherheit in der Informationstechnik<\/a> und die Verbraucherzentrale Bundesverband<\/a>.<\/p>\n
UPDATE 14.01.2024: <\/strong>Aufmerksame Payback Nutzern wird es bereits aufgefallen sein. Payback r\u00e4umt in den aktuellen Werbebriefen mit der Zusendung der Aktions-Coupons endlich ein, dass die Punkteeinl\u00f6sung mit Geburtsdatum und Postleitzahl bei Payback-Partnern unsicher ist. Weiter wird mitgeteilt, dass diese Form der Legitimierung in K\u00fcrze eingestellt werden soll. Hat ja auch nur 6 Jahre gedauert, seit wir erstmals hier im Block \u00fcber diese Sicherheitsl\u00fccke berichtet haben. Allerdings l\u00e4sst Payback das endg\u00fcltige Einstellungsdatum leider weiterhin offen. Zu gro\u00df scheint immer noch die Angst zu sein, dass viele Payback-Nutzer dem Dienst den R\u00fccken kehren. Noch k\u00f6nnen die Betr\u00fcger somit Payback-Konten leer r\u00e4umen. Bleibt nur zu hoffen, dass Payback alle Gesch\u00e4digte f\u00fcr Punkteverluste ohne lange Diskussion entsch\u00e4digt.
![\"Payback](\"https:\/\/www.amexio.de\/blog\/wp-content\/uploads\/2016\/11\/payback-warnung-300x134.jpg\")
<\/a><\/p>\n![\"Payback](\"https:\/\/www.amexio.de\/blog\/wp-content\/uploads\/2016\/11\/payback-hinweis-300x130.jpg\")
<\/a><\/p>\nWer noch nicht die 2-Schritt-Verifizierung oder eine Wunsch-PIN vergeben hat, muss dies jetzt kurzfristig nachholen um weiterhin Punkte vor Ort einl\u00f6sen zu k\u00f6nnen. Auf der Homepage informiert Payback auf der Kampagnenseite\u00a0https:\/\/www.payback.de\/kontoschutz<\/a> seine Kunden wie folgt:<\/p>\n
Worum geht’s? Bald kannst du deine gesammelten PAYBACK \u00b0Punkte nicht mehr mit Geburtsdatum & Postleitzahl an der Kasse einl\u00f6sen.<\/p><\/blockquote>\n
Payback Kontaktm\u00f6glichkeiten<\/strong>
\nDen Kundenservice von Payback erreichen Sie unter der Telefonnummer 089 540208020 von Montag bis Samstag in der Zeit von 8 bis 20 Uhr. Per Fax: 0180 5055108 (0,14 \u20ac\/Min. aus dem deutschen Festnetz, max. 0,42 \u20ac\/Min. aus dem Mobilfunk).<\/p>\nPayback Punkte in Bargeld einl\u00f6sen<\/strong>
\nDie Payback-Punkte k\u00f6nnen ab 200 einl\u00f6sbarer Punkte auch jederzeit auf ein Bankkonto ausgezahlt werden. Eine Anleitung, wie die Payback Punkte auszahlen<\/a> finden Sie in unserem weiteren Blogbeitrag.<\/p>\n
- \n