Durch eine Sicherheitslücke beim beliebten Payback Rabattportal wurden bereits mehr als 5.000 Payback-Konten leergeräumt. Der Punkte Diebstahl läuft dabei immer nach einem ähnlichen Muster ab. Die Betrüger erlangen auf noch unbekannte Art Zugriff auf das Payback-Konto und erstellen mit dem Guthaben auf dem Konto einen Einkaufsgutschein für die Einlösung z.B. bei REWE, dm oder ARAL. Dort wird dann für einen Kleinbetrag eingekauft und der Rest des Gutscheins in Bar ausgezahlt.
Die Pressesprecherin von Payback betont:
„Wir haben keinen Fremdeingriff auf Payback-Systeme festgestellt. Niemand hat direkten Zugriff auf unsere Daten. Die Sicherheitsprobleme liegen nicht bei uns“
Tatsächlich stellen sich gleich mehrere Fragen, die Payback aktuell nicht beantworten kann und möchte. Die geschädigten Payback-Kunden haben auffällig oft ein hohes Punkteguthaben verloren. Die Betrüger scheinen also gezielt Payback-Konten mit hohem Punkteguthaben im Visier zu haben. Dies würde jedoch voraussetzen, dass es bei Payback durchaus ein allgemeines Datenleck gab oder noch gibt. Für die Einlösung bei einigen Partnern, wie z.B. Rewe ist eine Payback-Karte notwendig. Die Bar-Auszahlung des Guthabens in der Partnerfiliale ist ausgeschlossen.
Die Sicherheitsvorkehrungen von Payback sind absolut unzureichend. Payback sendet dem Kontoinhaber nach erfolgter Einlösung der Punkte eine Email, dass die Punkte erfolgreich eingelöst wurden. Zu diesem Zeitpunkt ist es jedoch leider bereits zu spät um den Betrug noch stoppen zu können. Dabei gäbe es für Payback den aktuellen Betrug mit einfachen Methoden zu verhindern.
- Eine Einlösung der Punkte sollte nur bei Vorlage der Payback-Karte möglich sein.
- Keine Barauszahlung des restlichen Gutscheinwertes, der über dem Kaufbetrag liegt.
- Die Erstellung eines Gutscheins muss über eine Handy-Pin bestätigt werden.
- Payback-Kunden über jeden vergeblichen Log-In Versuch per Email zu informieren und die Änderung der Zugangsdaten zu empfehlen.
- Den Login-Bereich besser absichern. Eine vierstellige Pin ist zu leicht zu hacken.
Völlig unverständlich ist es, warum Payback es den Partner-Filialen ermöglicht beim Einkauf z.B. einer Packung Kaugummi die Differenz des Gutscheins teilweise im hohen dreistelligen Betrag in bar auszuzahlen. Es ist dringend erforderlich die Einlösebedingungen für Einkaufsgutscheine anzupassen. Ggf. sollten Gutscheine über einem bestimmten Schwellwert auch nur per Post versendet werden und nicht an einem Kundenterminal ausgedruckt oder per Email verschickt werden.
Was Geschädigte jetzt unbedingt tun sollten
-
- Betroffene sollten unbedingt sofort Passwort und Pin ändern. Sofern Sie noch nicht auf Pin umgestellt haben, sollten Sie dies aktuell auch nicht tun. Für die Betrüger ist es einfacher eine vierstellige Pin zu hacken, als das Geburtsdatum und die Postleitzahl des Wohnorts.
- Melden Sie dem Payback-Kundenservice umgehend den Fremdzugriff und fordern Sie die Gutschrift der gekauten Payback-Punkte
- Erstatten Sie zudem in jedem Fall bei der örtlichen Polizeidienststelle oder der Internetwache des Bundeslandes Strafanzeige! Sofern Sie telefonisch Kontakt mit dem Kundenservice hatten, fragen Sie nach dem Ort der Einlösung. Diese Information kann bei Payback der Mitarbeiter einsehen, teilweise wird die Auskunft jedoch verweigert. Übergeben Sie sämtliche Informationen Screenshot vom Punktekonto, Email über die Einlösung des Punkteguthabens und ggf. die Informationen zum Einlöseort und Zeit an die Polizei.
Payback wurde um eine Stellungnahme gebeten. Eine Antwort auf unsere Fragen liegt uns aktuell noch nicht vor. Sobald wir eine Rückmeldung erhalten, werden wir hier den Beitrag ergänzen.
Weitere Informationen zum Thema finden Sie bei sternTV, der Abendzeitung München.
UPDATE 29.11.2016: Frau Katharina Sommer von Payback hat uns heute am Beispiel von REWE die Einlösung des Guthabens schriftlich mitgeteilt:
… Die PAYBACK Punkte werden umgehend vom Punktekonto abgebucht. Ihr REWE Guthaben wird dann im REWE Kassensystem elektronisch hinterlegt und wird automatisch mit Ihrem nächsten Einkauf verrechnet. Die Verrechnung ist auf Ihrem Kassenbeleg ersichtlich. Bei einer Teileinlösung bleibt der Restbetrag auf Ihrer PAYBACK Karte und wird beim nächsten Einkauf verrechnet. …
Die Betrugsmasche wird dadurch immer mysteriöser. Nach dieser Erklärung müssten die Betrüger die Payback-Karte entwendet haben, gefälschte Payback-Karten besitzen oder sich Ersatzkarten von Payback für fremde Personen an falsche Adressen haben zusenden lassen. Nur mit einer Payback-Karte ist das Guthaben einlösbar.
Darüber hinaus kann ein Restguthaben nicht ausgezahlt werden, sondern verbliebe weiterhin auf der Payback-Karte. Eine Auszahlung in bar ist somit ausgeschlossen! Sofern die Partnerfiliale dennoch das Guthaben in bar auszahlt ist dies ein klarer Verstoß gegen die Einlösebedingungen. In diesem Fall könnte sich die Partner-Filiale gegenüber dem geschädigten Payback-Kunden unter Umständen haftbar gemacht haben. Stutzig sollten Sie werden, wenn kurz nach der Umwandlung Ihres Punkteguthabens, eine Gutschrift über einzelne Punkte beim jeweiligen Partner erfolgte. Das Restguthaben müsste dann eigentlich noch auf der Payback-Karte vorhanden sein, oder es wurde unrechtmäßig von der Partner-Filiale ausgezahlt.
… Die Barauszahlung des Guthabens ist ausgeschlossen. Das Guthaben ist 36 Monate gültig, ein Umtausch oder eine Rückgabe ist nicht möglich. …
Falls Sie nur eine Gutschrift über einzelne Punkte beim der betrügerischen Einlösung Ihres Punkteguthabens erhalten haben, sollten Sie möglichst zeitnah prüfen, ob das Restguthaben noch auf Ihrer Karte vorhanden ist.
… Am REWE Servicepunkt können Sie jederzeit die Höhe des Guthabens, und die Einlösebedingungen einsehen. …
Wichtig zu wissen ist zudem, dass an den Payback-Service Terminals bei Rewe bis zu 500 Euro auf die Payback-Karte geladen werden können. Online können dagegen nur 20 Euro eingelöst werden. Bei höherem Guthaben scheint somit zumindest bei Rewe der Betrug über einen Service-Terminal erfolgt zu sein.
… Der Maximalbetrag, welcher vor Ort aufgeladen werden kann beträgt 500 Euro, online können maximal 20 Euro aufgeladen werden. …
Lösen Sie das Restguthaben ggf. selbst ein, oder fordern Sie Payback um umgehende Rückbuchung auf Ihr Payback-Konto auf. Fordern Sie Payback zudem auf darzulegen, ob eine Ersatzkarte beantragt und ggf. wohin diese versendet wurde. Zudem sollten Sie von Payback Auskunft darüber verlangen, in welcher Filiale zu welcher Zeit die Punkte eingelöst wurden und über welche IP-Adresse die Einlösung des Punkteguthabens erfolgte. Stellen Sie in jedem Fall Strafanzeige und übergeben sämtliche Rechercheergebnisse der Polizei. Geben Sie zudem bei Ihrer Anzeige einen Hinweis auf das Ausmaß der Betrugsmasche. Aktuell wurden bereits mehr als 5.000 Payback-Konten geplündert. Die Dunkelziffer dürfte dabei wesentlich höher liegen.
Die große Anzahl der Geschädigten (bereits über 5.300 bestätigte Fälle) und die überwiegend hohen erbeuteten Beträge wecken erhebliche Zweifel an der offiziellen Stellungnahme von Payback, dass kein Sicherheitsproblem bei Payback vorliegt. Die statistische Wahrscheinlichkeit tendiert gegen Null, dass in kurzer Zeit eine so große Kundenzahl Opfer einer Phising-Attacke wurde, dagegen keine weiteren Schäden bei anderen Onlinehändlern, Onlinebanking etc. bei diesen Personen aufgetreten sind.
Auch wenn Sie aktuell nicht betroffen sind. Ändern Sie ggf. Ihre Zugangsdaten. Sparen Sie Ihr Guthaben nicht zu lange auf, sondern lösen Sie Ihr Guthaben wenn möglich ein bevor das Punktekonto zu lukrativ für Betrüger wird. Es gibt klare Anzeichen dafür, dass die Betrüger es vor allem auf Konten mit erheblichen Guthaben abgesehen haben.
Unkommentiert möchte ich zum Abschluss noch dieses Statement aus den Kommentaren der Abendzeitung München nicht unerwähnt lassen:
kürzlich habe ich in einem DM-Markt ein Gespräch einer älteren Kundin mit der Kassiererin mitbekommen. Die ältere Dame war offensichtlich nicht im WWW angemeldet mit ihrer Karte und hat sich bei der Kassiererin erkundigt, wie es denn sein könne, daß von ihrer Paybackkarte die Punkte „verschwinden“ – sie hatte nur noch paar Punkte drauf – hatte aber seit Jahren gesammelt und nun diese Punkte vermisst. Also – gibt wohl ne Sicherheitslücke bei Payback – sagen tun die das sicher nicht laut.
UPDATE 08.01.2017: Es gibt erste Hinweise darauf, dass die Betrugsmasche über den Log-In mit Geburtsdatum und Postleitzahl funktioniert. Das Sicherheitsleck könnte demnach auch bei einem Payback-Partner liegen. Wurde dort das Kundenkonto gehackt wurden eventuell Payback-Nummer, Geburtsdatum und die Anschrift, also die Postleitzahl entwendet. Falls auch Ihre Payback Punkte gestohlen wurden, schreiben Sie bitte anonym als Kommentar, bei welchen Partnern Sie regelmäßig Payback-Punkte gesammelt haben und welche dieser Partner ggf. Ihre Anschrift mit Geburtsdatum gespeichert haben (also vermutlich Onlineshops!). Vielleicht lässt sich so ein Muster erkennen, dass alle Betroffene bei einem Partner Kunde waren.
UPDATE 01.03.2017: Die Sicherheitslücke könnte auch Ihre Papiermülltonne sein. Werfen Sie die Werbesendungen von Payback ungeschreddert in den Müll? Sofern Sie noch nicht auf die Passwort-Verifizierung umgestiegen sind, können die Betrüger dadurch problemlos zwei von drei nötigen Bestandteile für den Log-In ermitteln. In den Werbemails findet sich neben der Anschrift im Adressfeld auch rechts oben die vollständige Kundennummer! Werfen Sie daher die Payback-Werbepost nicht ungeschreddert in den Müll. Das fehlende Geburtsdatum kann in vielen Fällen über zahlreiche Adresshändler ziemlich preiswert eingekauft werden.
UPDATE 22.03.2017: Einige Nutzer berichten, dass auch nach Umstieg auf die Passwort-Legitimation, bzw. nach Entfernung des Geburtsdatums noch Fremdzugriffe auf das Payback-Konto erfolgten. In diesen Fällen besteht weiterhin die Möglichkeit sich mit der PIN-Nummer bei den Service-Points einzuloggen. Daher sollte unbedingt auch diese Schwachstelle durch Änderung der Pin beseitigt werden!
Um die Sicherheit für das Payback-Konto zu verbessern, sollten Sie zeitnah auf den Log-In mit einem starken Passwort (mindestens 8-10 Zeichen mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen) umsteigen.
Dies erfolgt im Payback Kundenbereich über den Menüpunkt „Meine Zugangsdaten“. Sobald Sie ein Passwort eingerichtet haben, kann online kein Log-In mehr über das Geburtsdatum und die Postleitzahl oder die vierstellige Pin-Nummer erfolgen! Zusätzlich sollten Sie immer auch die vierstellige Pin-Nummer ändern. Die Pin-Nummer kann am REWE Servicepunkt weiterhin genutzt werden!
UPDATE 24.04.2022: Seit einiger Zeit unterstellt Payback dem Kunden im Falle von geplünderten Payback-Konten pauschal selbst Schuld zu sein. Ein Sicherheitsproblem wird konsequent bestritten und gestohlene Punkte auch nicht mehr nach Einzelfallprüfung erstattet. Ich habe daraufhin am 13.03.2022 und 03.04.2022 den externen Datenschutzbeauftragten der Payback GmbH Dr. Robert Selk über die Payback-Sicherheitslücke informiert und die Abschaltung der unsicheren Legitimationsmethode (Kundennummer + PLZ + Geburtsdatum) gefordert. Die erste E-Mail wurde zu meiner Enttäuschung vom Payback-Kundenservice nach dem bekannten Muster beantwortet. Auf die erneute E-Mail erhielt ich dann eine direkte Antwort von Herrn Dr. Selk in der endlich in Aussicht gestellt wurde, dass die Payback GmbH die vollständige Umstellung der Login-Methode auf E-Mail und Passwort plant. Leider teilte er in seiner E-Mail jedoch auch mit, dass Payback weiterhin bei der Behauptung bleibt, dass dieses Login-Verfahren kein Risikofaktor darstellt und die Verwendung von schwachen oder identischen Passwörtern Grund für die Punkteeinlösung sein sollen.
Diese Auffassung steht im Widerspruch zu den vorliegenden Erkenntnissen. Die Polizei hat bereits vereinzelt Täter ermittelt und im Zuge der Ermittlungen wurde festgestellt, dass die Täter für den Punkteklau das Passwort nicht benötigten!
Es gibt im Internet/Darknet diverse Quellen in denen Anleitungen und Datensätze gekauft werden können um Payback-Konten zu plündern. Aus den Unterlagen geht hervor, dass dafür nur Kundennummer, PLZ und Geburtsdatum benötigt werden.
Die notwendigen Informationen für einen Punkteklau sind für Kriminelle leider viel zu leicht zu ermitteln. Die Werbebriefe von Payback enthalten bereits die Kundennummer und die Postleitzahl. Als Bonus liefert Payback sogar noch ein ziemlich aktueller Punktestand, so dass Kriminelle gleich sehen können, ob sich ein Betrugsversuch lohnt. Das fehlende Geburtsdatum kann in vielen Fällen relativ einfach z.B. über frei zugängliche Internetdienste (z.B. Facebook, Xing, Linkedin), Adressbeständen aus Gewinnspielteilnahmen oder Datenlecks bzw. gehackte Datenbeständen ermittelt werden. Werbepost von Payback gehört deshalb grundsätzlich nur geschreddert ins Altpapier.
Aber auch die Umstellung auf ein sicheres Passwort verhindert den Punkteklau in vielen Fällen nicht. Es gibt bestätigte Fälle in denen die Payback-Hotline auf Zuruf Passwörter ändert und das neue Passwort an eine nicht verifizierte/hinterlegte Handynummer schickt. Beim Punkteklau bei Payback-Partnern können in vielen Fällen zudem die Punkte an der Kasse auch eingelöst werden, ohne das Payback Passwort kennen zu müssen.
Seit Oktober 2021 wurde die Zwei-Faktor-Authentisierung (2FA) eingeführt. So kann die Sicherheit für das Payback-Konto erheblich erhöht werden. Nach aktuellem Kenntnisstand soll auf diese Weise der Punkteklau über Kundennummer + PLZ + Geburtsdatum nicht mehr möglich sein. Daher wird dringend empfohlen das 2FA-Verfahren in der Payback-App zu aktivieren.
An dieser Stelle möchte ich allen Betroffenen eine sehr lesenswerte Diskussion zum Thema aus der Facebook Gruppe „Payback Geschädigte“ empfehlen. Sind Sie von der Payback Sicherheitslücke betroffen empfehle ich Ihnen zudem Strafanzeige zu erstatten und den Fall an den externen Datenschutzbeauftragten Dr. Robert Selk und das Bayerische Landesamt für Datenschutzaufsicht zu melden. Weitere mögliche Adressaten sind das Landesamt für Sicherheit in der Informationstechnik und die Verbraucherzentrale Bundesverband.
UPDATE 14.01.2024: Aufmerksame Payback Nutzern wird es bereits aufgefallen sein. Payback räumt in den aktuellen Werbebriefen mit der Zusendung der Aktions-Coupons endlich ein, dass die Punkteeinlösung mit Geburtsdatum und Postleitzahl bei Payback-Partnern unsicher ist. Weiter wird mitgeteilt, dass diese Form der Legitimierung in Kürze eingestellt werden soll. Hat ja auch nur 6 Jahre gedauert, seit wir erstmals hier im Block über diese Sicherheitslücke berichtet haben. Allerdings lässt Payback das endgültige Einstellungsdatum leider weiterhin offen. Zu groß scheint immer noch die Angst zu sein, dass viele Payback-Nutzer dem Dienst den Rücken kehren. Noch können die Betrüger somit Payback-Konten leer räumen. Bleibt nur zu hoffen, dass Payback alle Geschädigte für Punkteverluste ohne lange Diskussion entschädigt.
Wer noch nicht die 2-Schritt-Verifizierung oder eine Wunsch-PIN vergeben hat, muss dies jetzt kurzfristig nachholen um weiterhin Punkte vor Ort einlösen zu können. Auf der Homepage informiert Payback auf der Kampagnenseite https://www.payback.de/kontoschutz seine Kunden wie folgt:
Worum geht’s? Bald kannst du deine gesammelten PAYBACK °Punkte nicht mehr mit Geburtsdatum & Postleitzahl an der Kasse einlösen.
Payback Kontaktmöglichkeiten
Den Kundenservice von Payback erreichen Sie unter der Telefonnummer 089 540208020 von Montag bis Samstag in der Zeit von 8 bis 20 Uhr. Per Fax: 0180 5055108 (0,14 €/Min. aus dem deutschen Festnetz, max. 0,42 €/Min. aus dem Mobilfunk).
Payback Punkte in Bargeld einlösen
Die Payback-Punkte können ab 200 einlösbarer Punkte auch jederzeit auf ein Bankkonto ausgezahlt werden. Eine Anleitung, wie die Payback Punkte auszahlen finden Sie in unserem weiteren Blogbeitrag.
79 Gedanken zu “Tausende Payback-Konten von Betrügern geplündert”
Mein Punktekonto wurde am 02.01.2017 geplündert.
Frechheit das Payback keine Warnung versandt hat, somit hätte ich die Punkte einlösen können.
Auf der Payback Seite keine Rufnummer angegeben um so was schnell melden zu können.
Mein Paybackkonto wurde um 22.000 Punkte (220 Euro) erleichtert. Dies soll bei REWE passiert sein obwohl ich nie bei REWE einkaufe. Meine Paybackkarte habe ich nie aus der Hand gegeben. Meine Zugangsdaten kenne nur ich und habe diese nirgends hinterlegt. Habe den Vorgang 10 Minuten nachdem ich von Payback eine Mail erhielt in der man mir gratulierte, dass ich 22.000 Punkte bei Rewe eingelöst hätte. Da Payback tel nicht erreichbar war habe ich diese Meldung per Fax geschickt und per email. Erst 3 Tage später wurde ohne Kommentar mein Konto gesperrt! Ganze 3 Wochen später erhielt ich von Payback ein Schreiben. Auf gut Deutsch sind alle, die betroffen sind einfach dumm und haben ihre Daten nicht geschützt. Payback weigert sich, die Punkte zurück zu überweisen, gibt nicht bekannt, in welcher Rewe Filiale meine Punkte eingelöst wurden. Sollten diese Online entwendet worden sein, so rückt Payback nicht mit der IP Nummer des Jenigen raus, der mein Konto geplündert hat. Payback redet sich um Kopf und Kragen weil die genau wissen, dass es bei Payback Sicherheitslücken bestehen. Klar, dass die es nicht zugeben werden. Der Imageschaden gegenüber den Paybackpartnern wäre fatal. Ich habe bei der Polizei Anzeige erstattet. In Baden Württemberg geht das auch online. Nur so wird Payback unter Druck gesetzt werden können. Auch habe ich alle Paybackpartner angeschrieben, bei denen ich regelmässig Punkte sammle und auf diese Vorfälle hingewiesen. Wenn das viele Betroffene tun, so werden die Paybackpartner hellhörig werden denn wir sind nicht Paybackkkunden sondern Kunde der Paybackpartner! Bitte zeigt solche Fälle bei der Polizei an. Wie gesagt es geht online, kostet nur wenige Minuten und ist nicht mit Kosten verbunden. Macht Druck! Schreibt die Paybackpartner direkt an, beschreibt, wie der Sachverhalt ist. Für Payback ist der schlimmst anzunehmende Fall, dass Paybackpartner aus dem System aussteigen wenn Kunden um ihre Punkte betrogen werden nur weil es Sicherheitslücken gibt. Schreibt den Paybackpartnern ruhig, dass die Paybackpunkte durchaus ein großer Anreiz ist, da einzukaufen aber wenn die Sicherheitslücken deutlich sind so überlege man eben keine Paybackkarte mehr einzusetzen. Es gibt ja auch noch z.b.die Deutschlandcard. Bitte erstattet Anzeige
@Jahnke: gegen wen hast du Anzeige erstattet? gegen den Payback-Partner REWE (dort wurden die Punkte eingelöst) oder gegen Payback direkt (weil dort die Sicherheitslücken bestehen)?
Ich hatte am 04.01.2017 eine Email erhalten, dass 27.100 °P eingelöst wurden und als REWE Guthaben auf meiner PAYBACK Karte seien. Eine Woche später teilte mir Payback schriftlich mit, dass am REWE Service Punkt ein Wertscheck! ausgestellt wurde. Ich interpretiere das so, dass quasi ein „Barscheck“ ausgestellt wurde, der – ohne meine Payback-Hauptkarte – an der Kasse eingelöst werden konnte (eventuell sogar mit Barauszahlung des Restguthaben). Das wäre ein eklatanter Verstoß gegen die AGB von Payback (über die Punkte kann nur der Hauptsammler bzw. der Eigentümer der Hauptkarte verfügen). Wie war das bei dir? Was steht in deiner „Glückwunsch“-Email? auch „Ihre eingelösten Punkte wurden digital auf Ihrer PAYBACK Karte hinterlegt“?
Hallo Archenoah,
mir wurde gratuliert, dass ich 22000 Punkte bei Rewe eingelöst habe, dieser Betrag auf der Paybackkarte gut geschrieben wurde. Trotz Aufforderung teilte mir Payback nicht mit, bei welchem Rewe Markt die Punkte eingelöst wurden. Ich habe Onlineanzeige gegen Unbekannt erstattet. Zwischenzeitlich hat sich Payback gemeldet. Fazit: die vielen Tausenden Geschädigte sind einfach zu blöd und haben ihre Zugangsdaten nicht ausreichend geschützt. Eine Erstattung wird abgelehnt. Es kam im november bei Stern TV bezüglich Payback Punkteklau eine Sendung. Ich habe auch RTL angeschrieben und den ganzen Schriftverkehr zugeschickt mit der Bitte an der Sache „payback“ dran zu bleiben. Ich nerve Payback noch Monate wenn es sein muss. Jeder Geschädigte sollte Online Anzeige erstatten. Das beschäftigt Payback da Payback auf jede Anzeige einzeln eine Stellungnahme abgeben muss. Der Ruf von Payback wird bei den Paybackpartnern Schaden nehmen. Die geschädigten nur für dumm zu erklären ist deren Masche. Onlineanzeigen kosten nichts! Nur wenn alle Anzeige erstatten werden die Paybackpartner hellhörig werden
Mein Konto wurde am 30.12. geleert.
Payback scheint da ein ganz großes Problem zu haben.
Kein Pishingmail, kein unsicheres Kennwort kein geknackter Rechner oder Account.
Tipp: Beim Anruf „Reklamation“ sagen dann wird man verbunden.
Ich kann nur jedem raten seine Punkte so schnell wie möglich selber zu benutzen.
Ich habe die Punkte aus Kulanz erstattet bekommen.
Habe dann den Betrag gleich auf mein Konto überwiesen.
Es gibt erste Hinweise darauf, dass die Betrugsmasche über den Log-In mit Geburtsdatum und Postleitzahl funktioniert. Das Sicherheitsleck könnte demnach auch bei einem Payback-Partner liegen. Wurde dort das Kundenkonto gehackt wurden eventuell Payback-Nummer, Geburtsdatum und die Anschrift, also die Postleitzahl entwendet. Falls auch Ihre Payback Punkte gestohlen wurden, schreiben Sie bitte anonym als Kommtentar, bei welchen Partnern Sie regelmäßig Payback-Punkte gesammelt haben und welche dieser Partner ggf. Ihre Anschrift mit Geburtsdatum gespeichert haben (also vermutlich Onlineshops!). Vielleicht lässt sich so ein Muster erkennen, dass alle Betroffene bei einem Partner Kunde waren.
Ja ich bin sicher das da ein Loch klafft.
Aral, ebay, Amex waren die letzten vor dem Punkteschwund
P.S.: Anzeige habe ich erstattet. Ich bin mal gespannt was weiter passiert. Ich halte es wirklich für ein großes Sicherheitsproblem.
Ich habe meine Paybackkarte regelmässig bei ARAL, bei DM und Galeria Kaufhof eingesetzt.
Bei DM wurden am 10.01.17 Payback- Punkte (nicht von mir) eingelöst.
Hatte am 04.01.2017 selbst noch bei REWE eingekauft (wegen 0,70€ die PAYBACK Karte aber nicht vorgelegt). Kurze Zeit später eine Email erhalten, dass 27.100 °P eingelöst wurden und als REWE Guthaben auf meiner PAYBACK Karte seien. Online meine PAYBACK Punktestand gecheckt, tatsächlich: minus 27.100 °P, eingelöst bei REWE. Login sofort geändert; PAYBACK versucht, telefonisch zu erreichen; Sprachcomputer sah sich nicht in der Lage, mich mit einem Menschen zu verbinden; Fax geschrieben; am nächsten Tag war mein Konto gesperrt; am 05.01. Email von PAYBACK: „Ihre Anfrage ist in besten Händen. ….. Wir informieren Sie innerhalb von 4 Wochen …..“; am 10.01. Brief von PAYBACK: „…. Ihre 27100 Punkte wurden am 04.01.2017 als Wertscheck bei REWE eingelöst. ….. und geben Ihnen innerhalb von 8 Wochen eine Rückmeldung.“; nächstes Fax von mir: “ was denn nun: Einlösen meiner Punkte als REWE Guthaben auf meiner Karte oder als Wertscheck?“ Ein Wertscheck wäre quasi wie ein Barscheck ohne Vorlegen der PAYBACK Hauptkarte an der Kasse einlösbar und das würde gegen die Sicherheitsbestimmungen und damit gegen die AGB von PAYBACK verstoßen bzw. gegen die Darstellung des Verfahrens auf den REWE Payback Seiten „REWE Service-Punkt“
Bin gespannt auf deren Antwort!
Werde auf jeden Fall jetzt dann noch bei der Polizei Anzeige erstatten.
Soeben festgestellt: 6.150 Punkte bei einem D-Markt geplündert. Frechheit!!!
Die meisten Punkte habe ich bei REWE und DM gesammelt.
In einigen Einzelfällen hat Payback gegenüber dem Geschädigten zugegeben, dass er keine Schuld an dem Punktediebstahl hat und die Punkte aus Kulanz wieder dem Payback-Konto gutgeschrieben. In diesen Fällen wurde dann auch immer das Geburtsdatum im Payback-Konto entfernt. Payback weigert sich aber auch in diesen Fällen nähere Angaben zu machen.
Das deutet darauf hin, dass die Betrüger die Schwachstelle Geburtsdatum + Postleitzahl nutzen um Zugriff auf die Payback-Konten zu erhalten. Warum Payback diese Log-In Möglichkeit nicht komplett deaktiviert bleibt unklar.
Auch mein Konto wurde geräumt. Von den Transaktionen (2 unbekannte Aral Tankstellen) konnte ich auch noch Screenshots machen. Ich habe dann sofort mein Passwort geändert und Payback kontaktiert. Ich bekam dann auch die Standartmail „Ihre Anfrage ist in guten Händen blablabla..“ allerdings ist mein Konto nun auch ohne jegliche Information gesperrt. Payback ist natürlich ohne Login nicht per Email zu erreichen. Telefonisch ist auch kein weiterkommen. Da fühlt man sich ja super gut aufgehoben.
Mir sind Anfang September 2016 45.000 Punkte geraubt worden.
Bis jetzt hat sich Payback zu keiner Stellungnahme in diesem Fall hinreißen lassen. Es gab nur zwei Vertröstungs-EMails das der Fall noch in Bearbeitung ist.
Konto ist seitdem gesperrt und man fühlt sich regelrecht allein gelassen.
Kundenservice sieht definitiv anders aus!!!
@Wütend: Ich kann nur empfehlen zur Polizei zu gehen. In einigen Fällen hat Payback, nach der Anzeigenerstellung recht schnell aus Kulanz den Schaden übernommen. Payback scheint kein sonderlich großes Interesse an einer juristischen Aufklärung zu haben.
@Sparfuchs: Anzeige gegen wen erstattet? gegen den Payback-Partner (bei mir REWE; dort wurden meine 27.100 Punkte eingelöst) oder gegen Payback direkt (weil dort die Sicherheitslücken bestehen)?
Die Schwachstellen scheinen die Service-Punkte bei den PAYBACK Partnern zu sein, da hier der „alte“ unsichere Login mit Geburtsdatum + PLZ weiterhin notwendig ist. Der „neue“ Login mit Email-Adresse und Passwort funktioniert technisch nicht an den Service-Points (Eingabemöglichkeit fehlt!).
Abgesehen davon wird der Betrug auch noch gefördert, da in meinem Fall am REWE Service Punkt die eingelösten Punkte nicht als REWE Guthaben digital auf meiner Karte hinterlegt wurden (wie in der „Glückwunsch“-Email von PAYBACK geschrieben; dann wäre ja nur mit meiner Hauptkarte die Einlösung möglich gewesen), sondern es wurde – wie mir PAYBACK schriftlich bestätigt hat – ein Wertscheck ausgedruckt (was ich als Barscheck interpretiere). Der Betrug wird somit aus meiner Sicht durch zwei Dinge erleichtert, wenn nicht sogar von PAYBACK „gefördert“:
1. unsicherer „alte“ Login an den Partner Service-Punkte
2. keine digitale Punktegutschrift auf die Hauptkarte, sondern Barscheck-Ausdruck
Letzteres wäre für mich ein eklatanter Verstoß gegen die AGB von Payback (über die Punkte kann nur der Hauptsammler bzw. der Eigentümer der Hauptkarte verfügen).
Decken sich meine Gedanken mit anderen Erfahrungen oder bin ich auf dem falschen Weg?
@Archenoah: Die Anzeige ist gegen Unbekannt zu stellen. Die Strafanzeige richtet sich gegen die unbekannten Betrüger, die das Konto leer geräumt haben. Im weiteren Verlauf wird die Polizei ermitteln und Payback zu dem Sachverhalt befragen. Anschließend geht die Anzeige dann zur Staatsanwaltschaft.
Bei den Service-Punkten kann zwar der Log-In mit der Pin auch nach der Umstellung auf Passwort-Verifizierung erfolgen, aber an den Service-Punkten kann keine Automatisierungssoftware genutzt werden um alle Pin-Kombinationen durchzutesten. Ohne die Pin wirklich zu kennen ist hier dann kaum ein Betrug möglich. Da die Punkteeinlösung regelmäßig auch hunderte Kilometer entfernt erfolgt, ist auch auszuschließen, dass sich jemand Zugang verschafft hat, in dem man vergessen hatte sich am Service Punkt auszuloggen. Abgesehen davon, dass die meisten Opfer dieser Masche im Vorfeld sich nicht selbst am Service Punkt eingeloggt hatten. Wichtig ist auf jeden Fall die Pin immer zu ändern, nachdem man auf die Passwort-Verifizierung umgestiegen ist. Es könnte sein, dass die Betrüger bereits längst die Pin über eine Automatisierungssoftware geknackt haben und lediglich darauf warten, dass ein lohnenswerter Kontostand auf dem Payback-Konto vorhanden ist. Denn auffälligerweise werden regelmäßig die Konten leer geräumt, auf denen sich ein größeres Guthaben befindet.
Nach meinem Kenntnisstand kann an den Rewe Service Punkten kein Wertscheck ausgedruckt werden. Die Gutschrift müsste demnach immer auf die Payback-Nummer gutgeschrieben werden. Wurde am Tag als die Payback-Email kam auf dem Payback-Konto ein Umsatz bei Rewe gutgeschrieben? In den meisten Fällen erfolgte ein Einkauf bei dem einzelne Punkte gutgeschrieben wurden und gleichzeitig an der Kasse das Restguthaben unrechtmäßig ausgezahlt wurde. Auch dies sollte laut Payback eigentlich nicht möglich sein. Strafrechtlich ist dies zwar nicht zu beanstanden, aber zivilrechtlich könnte sich der Rewe-Markt schadenersatzpflichtig gemacht haben. Aber hierfür müsste man die Rewe-Filiale kennen und über einen Rechtsanwalt die Rechtslage im Einzelfall klären.
Auch ich wurde am 30.01.2017 um 6.000 Punkte erleichtert … der Gutschein wurde dann in einem ReWe eingelöst.
Kundenservice meinte, dass sie sich wieder melden…nach ca. 6-8 Wochen…der Vorfall wird angeblich geprüft.
Aber hab keine Hoffnung, die Punkte zurück zu bekommen…siehe auch Posts von anderen Geschädigten.
Ich frage mich nur, wieso man beim Einlösen nicht einfach die Karte vorzeigen muss?!? Und wie können die ohne Karte überhaupt den Gutschein ausdrucken…geht das?
eine weitere enttäuschte PayBackPunkte-Sammlerin
@Jule: Um einen Gutschein zu aktivieren ist nur ein Log-In erforderlich. Aktuell gibt es zwei unsichere Verfahren. Entweder mit Geburtsdatum und Postleitzahl oder noch einfacher mit einer vierstelligen Pin. Beide Varianten sind zu relativ einfach zu knacken. Daher sollte man dringend auf die neuere Passwort-Variante umsteigen. In diesem Fall bleibt aber die Pin an den Service-Points weiterhin gültig. Daher sollte man auch immer zeitgleich die Pin ändern.
Um den Gutschein schließlich einzulösen kann man im Payback-Konto leider eine provisorische Karte ausdrucken oder man nutzt hierfür eine der diverse Apps. Bei den Apps wie z.B. Stocard gibt man einfach die Kartennummer ein und es wird daraus automatisch ein scannbarer Barcode erzeugt. Eine Originalkarte ist dann nicht notwendig.
Das System Payback ist leider total unsicher. Und trotz der vielen Geschädigten ignoriert und leugnet Payback einfach alle Schwachstellen. Gegenüber der Polizei behauptet Payback offenbar regelmäßig, dass der Nutzer Opfer einer Phishing-Attacke wurde. Ohne jegliche Beweise dafür liefern zu können!
Mir wurden heute auch 5900 Punkte geklaut und bei REWE eingelöst.Ich war zu dem Zeitpunkt zuhause.Laut Kundenservice heisst es da die nicht sagen können in welchen REWE Markt das war nur Datum und Uhrzeit.Beschwerde aufgenommen und dauert bis zu 6 Wochen bis das bearbeitet ist.Vielleicht bekomme ich auf Kulanz die Punkte wieder. wer’s glaubt…… Ich werde mein Paybackkonto kündigen wenn ich meine Punkte nicht wieder bekomme.Drecksverein ist das
@Michael: Payback weiß sehr wohl in welcher REWE Filiale die Punkte eingelöst werden. In Einzelfällen hat der Kundenservice diese Auskunft in der Vergangenheit bereits dem Kunden erteilt. Da Payback ganz offensichtlich aber kein großes Interesse an der Aufklärung hat und sich die Filiale in den meisten Fällen durch Auszahlung der Punkte ggf. selbst haftbar gemacht haben könnte (Verstoß gegen die Payback Bedingungen für die Gutschein-Einlösung), wird diese Information möglichst nicht weitergegeben. Hier hilft nur eine umgehende Strafanzeige. Die ist im übrigen in einigen Bundesländern auch online möglich: http://www.online-strafanzeige.de/
Ob die Punkte widerrechtlich ausgezahlt wurden, kann man selbst prüfen. Sofern nur einzelne Punkte bei REWE für den angeblichen Einkauf gutgeschrieben wurden, liegt nahe, dass das Restguthaben ausgezahlt wurde. Laut den Payback Einlösebindungen dürfte das jedoch gar nicht möglich sein.
Danke @Sparfuchs…jetzt habe ich es auch verstanden.
Nun noch der Oberhammer: Heute wurde das Konto meiner Schwester leergeräumt und danach automatisch gesperrt…und sie ist sich 100% sicher, keine Daten irgendwo eingegeben zu haben… nochmals 100€ weg. Langsam wird es komisch!
Kundenservice hat auch ihr gesagt, dass der Fall geprüft wird und die sich in paar Wochen melden…langsam habe ich kein Vertrauen mehr in PayBack…sowas ist doch katastrophal.
@Jule: Payback hat laut eigener Aussage 29 Millionen Kunden (Quelle: https://www.payback.net/de/ueber-payback/daten-fakten/). Bei jedem Konto, bei denen der Log-In noch nicht auf Passwort umgestellt wurde, kann ein Log-In online über die vierstellige Pin erfolgen. Hierfür gibt es logischerweise nur 10.000 unterschiedliche Kombinationen, wenn man „0000“ dazu zählt. Setzt man voraus, dass man drei Versuche hat, bevor ein Konto gesperrt wird, können Betrüger pro Kundennummer also dreimal eine x-beliebige Pin ausprobieren. Und so mathematisch bei jedem 3.333 Versuch ein Konto knacken ohne die Zugangsdaten vorher irgendwo erbeutet zu haben. Bei 29 Millionen Konto würden so problemlos ca. 8.700 Konten geknackt werden können, sofern alle noch per Log-In erreichbar wären. Zieht man nun die Konten ab, bei denen der Log-In nur noch per Passwort möglich ist, dann würde ich auf ca. 4-5 Tausend geknackte Konten tippen. Wenn dann statt dreimal nur zweimal eine wahllose Pin versucht wird und erst im Zeitabstand von einigen Wochen erneut ein weiterer Versuch erfolgt dürften ohne Sperrung des Kontos erneut zwei weitere Versuche möglich sein, ohne das es auffallen würde. Und das Ganze können die Betrüger mit einer entsprechenden Software auch automatisiert haben. Das ist natürlich reine Spekulation, aber soll nur verdeutlichen, wie unsicher die herkömmliche Zugangssicherung von Payback ist! Daher gilt es wirklich dringend auf das neue Passwort-Verfahren umzusteigen und ein entsprechend sicheres Passwort zu wählen.
Mein Konto wurde am 18.01.2017 geplündert – 14.000 Punkte.
Ich war zu der Zeit zwei Wochen auf Kreuzfahrt. Lapidarer Kommentar von PayBack. Ich wäre schuld! Dabei lag die Karte im Safe in der Brieftasche neben meiner HandyApp, welches ich ebenfalls mit hatte. Aber weder in MontegoBay, OchoRios, St. Kitts, St.Maarten, etc. pp. wird PayBack anerkannt.
Unser Payback-Konto wurde am 04.02.2017 geplündert. Insgesamt 9941 Punkte. Die oder der Täter haben bei einer ARAL-Tankstelle in Iserloh (600km von meinem Wohnort entfernt) unser Guthaben in Paysafe-Karten getauscht. Einmal in eine KArte mit 8.500 Punkten und den Rest auf eine weitere Karte. Damit sind der- oder diejenigen noch in der Tankstelle shoppen gegangen, wofür mir großzügigerweise 14 Punkte gutgeschrieben wurden.
Mit dem Tankstellenpächter habe ich telefoniert, der hat die Videoaufzeichnungen des Tages gesichert. Soweit dieser sich noch erinnern kann, wurde am Terminal eine Blankokarte (ohne Aufdrucke) verwendet. Für das Einlösen der Punkte genügte wiedermal nur die Nummer, die PLZ und das Geburtsdatum.
Ich habe Anzeige bei der Polizei erstattet, alle Daten übermittelt. Bisher aber noch nichts gehört.
Bei Payback habe ich ebenfalls angerufen, um den Sachverhalt zu klären und anzuzeigen. Aussage der Hotline war, dass zunächst das Konto gesperrt wird. Man den Sachverhalt aufnimmt und ich Post in ca. 6 Wochen bekommen werde. Zur Sicherheit habe ich den ganzen Vorfall auch noch schriftlich an Payback gesendet, damit ich auch einen Beweis habe. Payback selber meinte dazu, ob ich auf eine Fishingmail hereingefallen bin, was ich verneinte, da ich alle Kontenklärungen etc. nur über Telefon etc. mache.
Daraufhin kam die Frage, bei welchen Online-Shops ich die Paybackdaten verwende. Denn es könnte auch sein, dass da ein Datenleck ist. Meine Hauptonlineshops sind Zalando, mytoys und babymarkt sowie Tchibo.
Zalando als meinen Hauptonline-Payback-Shop habe ich über den Datendiebstahl ebenfalls informiert.
Payback empfiehlt mir nun, das alte Konto nicht mehr zu verwenden und ein neues Payback-Konto zu eröffnen. Aus Sicherheitsgründen…
@S. Lenz: Diese Aussage vom Payback-Kundenservice ist bemerkenswert: „Daraufhin kam die Frage, bei welchen Online-Shops ich die Paybackdaten verwende. Denn es könnte auch sein, dass da ein Datenleck ist.“ Das klingt erstmals so, als wenn Payback Erkenntnisse oder Vermutungen hat, das bei einem ihrer Partner die Daten gestohlen worden sein könnten.
Ganz ehrlich liegt hier meine Vermutung. Denn ich passe tierisch auf, dass ich nicht auf irgendwelche Mails etc. hereinfalle.
Da ja über Paybacknummer, Geburtsdatum und PLZ eingelöst wurde, kann ich mir hier so ein Leck auch vorstellen, da Online-Shops diese Daten ja gerne abfragen für die Legitimation.
Hat jemand die Erfahrung gemacht, dass PAYBACK das Konto von sich aus und ohne Information deaktiviert hat, nachdem Anzeige wg/Punkteklau erstattet wurde?
@payc: Das Payback das Konto in diesen Fällen sperrt kommt häufiger vor um weiteren Missbrauch zu vermeiden. Den Grund für die Sperrung kann man bei der Kundenhotline erfragen. In jedem Fall sollte vor der Reaktivierung das Geburtsdatum aus dem System bei Payback gelöscht werden. Zudem ist nachträglich auf jeden Fall die Pin zu ändern und möglichst auf das Passwort-Verfahren umzusteigen.
Danke für die Antwort. Das beschriebene Procedere wurde nach dem Punkteklau Anfang Januar realisiert. Danach „funktionierte“ das Konto. Vor drei Tagen stellte ich nun fest, dass das Konto deaktiviert ist.
Hm, hab zu dem Geburtsdatum jetzt mal ne Frage??
Wenn nun das Geb.-Datum bei Payback gelöscht wurde (das Log-In auf der HP war bereits auf Mail/Passwort umgestellt), wie kann es dann sein, das es am Terminal Rewe/Real immer noch mit eben diesem Datum möglich ist, sich einzuloggen. Gelöscht müsste doch eigentlich heißen, komplett raus aus den Daten!! Aber wie loggt man sich dann am Terminal ein??
@Karin: Am Terminal sollte dann diese Log-In Methode natürlich nicht mehr funktionieren. Weiterhin funktionieren wird aber die PIN! Also einloggen mit PIN ist möglich. Daher auf jeden Fall die PIN noch ändern. Alternativ ist ggf. der Log-In mit Passwort möglich. Dies habe ich selbst aber nicht getestet.
Hallo,
mir wurden am 02.02.17 über Rewe 7900 Punkte geklaut und am 06.02.17 vom 2. PP-Konto 6100 Punkte. Bekam am 06.02 eine Mail, dass Daten an meinem Konto geändert wurden. Habe sofort an PP geschrieben. Die haben das Konto gesperrt. War schon zu spät, die Punkte waren weg, als ich abends mit dem PP-Service telefoniert hatte.
und wieder ist Payback fein raus! Fatal, wenn Paybacknutzer (Kunden) für zu blöd verkauft werden. Ich gebe nicht auf. Bis ich meine Punkte gut geschrieben bekomme. Ich wiederhole mich aber: onlineanzeige bei der kripo erstatten. Irgendwann wird der Druck zu groß und das Mißtrauen der Paybackpartner wird wachsen.
Hallo, bin von Punkteklau betroffen, habe mir Gedanken gemacht wo die Lücke ist:
Aus meiner Sicht liegt das Problem an Payback, dass man mit Plz und Geburtsdatum Punkte einlösen kann ist aus meiner Sicht grob fahrlässig. Für diese Informationen gibt es etliche Datenquellen.
Was mich wundert, dass der Täter sich in mein Paybackkonto einloggen konnte obwohl ich auf E-Mail und Passwort schon lange umgestellt hatte und das Passwort nur für Payback und für sonst kein anderes Konto verwendet wurde. Phishing schliesse ich aus, da ich nie aus Mail heraus mich an Konten anmelde.
@Tom: Wo wurden die Punkte denn eingelöst? Wenn diese bei Rewe eingelöst worden sind, dann kann auch noch die Pin genutzt worden sein. Am Service-Punkt ist auch nach Umstellung auf Passwort-Legitimation die Pin noch gültig. Daher sollte auch immer die Pin geändert werden. Ansonsten, liegt tatsächlich die Vermutung nahe, dass die Schwachstelle bei Payback liegt, sofern Phising ausgeschlossen werden kann.
Es gibt auch eine Facebook Gruppe der Geschädigten
https://www.facebook.com/groups/374330322907375/
Meine Punkte wurde nun das zweite Mal gestohlen. Wieder rund 8500 Punkte futsch. Wieder war es ein DM Markt. Das erste Mal war es in Dessau und heute in Berlin. Ich wohne in Bremen. Da liegt schon eine Strecke dazwischen. Ich kaufe bei DM nicht ein. Nur bei Real und Rewe. Ich habe alle Karten noch. Eine Ersatzkarte wurde angeblich nicht verschickt. Passwörter wurden alle geändert und einen Pin zur Einlösung habe ich auch. Wie das passieren konnte, kann man mir angeblich nicht sagen, aber es ist garantiert meine Schuld. (Aussage der Hotline und bei Facebook)
@Nadine: Wurde denn die Pin auch geändert? Die Log-In Methoden Pin und Geburtsdatum in Kombination mit PLZ sind die Schwachstellen bei Payback. Es reicht nicht nur auf Passwort umzusteigen. Wenn das Konto erst einmal gehackt wurde, ist zwingend auch die Pin zu ändern!
Die Pin habe ich neu von Payback bekommen. Das Passwort bei Payback ist eine Kombi aus Buchstaben und Zeichen ohne Sinn. Das gleiche habe ich bei meinem E-Mail Konto gemacht (natürlich eine andere Kombi). Geburtsdatum wurde aus meinen Daten entfernt (lt. Payback). Keiner von denen kann mir sagen, wie das schon wieder passieren konnte. Mir wird nur gesagt, dass es mein Fehler ist.
@Nadine: Spricht einiges für ein Sicherheitsproblem bei Payback selbst. Sicherheitshalber sollte ein neues Payback-Konto angelegt werden. Die Pin von Payback sollte grds. immer gegen eine selbst gewählte Pin getauscht werden. Um ganz sicher zu gehen würde ich auch die genutzten Notebooks, PCs, Handys, Tablets vollständig auf Viren prüfen.
Das haben wir tatsächlich auch schon nach dem ersten Mal gemacht. Wir haben uns McAfee geholt (den Jahreszugang) und mein Diensthandy hat von Haus aus eine Antiviren Software. Man hat ja ein komisches Gefühl, wenn einem so etwas vorgeworfen wird. Komisch ist, dass es nur Payback betrifft andere Sachen (Paypal, Versandhäuser ect.) sind nicht betroffen.
@Nadine: Ne, komisch ist das nicht. Gäbe es mit anderen Zugangsdaten auch Probleme, würde die Behauptung von Payback das Problem liege beim Nutzer, wahrscheinlicher sein. Da aber regelmäßig nur Payback betroffen ist und zudem viel zu viele Personen um dies mit einer Phishing Attacke logisch erklären zu können, deutet das viel wahrscheinlicher für eine Sicherheitslücke bei Payback oder deren Partner hin.
Auch mein Konto wurde am 19.1.17 um 2090 Punkte erleichtert. Natürlich wurde mir von Payback mitgeteilt, dass nur ich dran schuld sein kann.
Meine Konsequenz habe heute mein Payback Konto gekündigt und somit ist die Sache für mich erledigt.
Einige Nutzer berichten, dass auch nach Umstieg auf die Passwort-Legitimation, bzw. nach Entfernung des Geburtsdatums noch Fremdzugriffe auf das Payback-Konto erfolgten. In diesen Fällen besteht weiterhin die Möglichkeit sich mit der PIN-Nummer bei den Service-Points einzuloggen. Daher sollte unbedingt auch diese Schwachstelle durch Änderung der Pin beseitigt werden!
Alles gemacht!! Von Email bis alle Daten bei Payback, Virenprogramme laufen lassen, Adwarecleaner laufen lassen, auf Maleware gecheckt… Bei mir ist alles sauber gewesen und trotzdem erfolgte ein zweiter nicht berechtigter Zugriff auf mein Konto bei Payback. Da ich nah der Gutschrift des ersten Punkteklaus alles direkt in eine Prämie umgetauscht hatte, waren nur noch 10 Punkte auf dem Konto… Die waren mir jetzt aber auch egal, ich hab den ganzen Krempel komplett gekündigt. Solange die ihren Laden nicht in den Griff bekommen, gibt’s von mir keine Daten mehr. Und das ja auch noch für quasi kostenlose Marktforschung! Denn nichts anderes ist Payback!!
Mir wurden 70.200 Punkte gestohlen – super klasse.
Payback hat keine Schuld!!! Angeblich hat man mich per Briefpost über „Unregelmäßigkeiten“ infromiert – was definitv nicht die Wahrheit ist.
Bin stinkesuaer auf Payback zumal mir vor 10 Tagen per Telefon noch versicehrt worden ist die Punkte werden kulanterweise wieder gutgeschrieben.
Ist das evtl. eine Payback interne Masche sich von hohen Punkteguthaben zu entledigen ????? Ich weiß es nicht aber die Servicefreundlichkeit ist unterirdisch.
Payback – VIELEN DANK – Gerne werde ich dich weiterempfehlen – so geht man mit Kunden nicht um.
Mir wurde nun schon zum zweiten Mal das PAYBACK-Konto leergeräumt. Immer wurden die Punkte angeblich bei REWE eingelöst.
Was mich stutzig macht ist, dass mir mitgeteilt wurde, dass die Punkte auf die Karte gebucht wurden. Auf Nachfrage teilte man mir aber mit, dass ein Wertgutschein ausgedruckt wurde.
Ja was denn nun?
Das ist schon sehr fragwürdig.
Mir wurde auch mitgeteilt, dass die Punkte in Luckenwalde eingelöst wurden. Das ist etwa 300 km von mir entfernt und mir bis dato völlig unbekannt
Die Karte nutze ich regelmäßig bei ARAL, DM und REAL
Es stellt sich die Frage ob man BIG BROTHER weiter unterstützen sollte wenn es keinen Vorteil gibt und man nur für doof verkauft wird
Bei Payback wirst du für dumm verkauft! Schuld ist grundsätzlich der Karteninhaber. Ein Schuldeingeständnis hätte für Payback ernste Konsequenzen und die Paybackpartner würden den Verbund verlassen. Mir hat Payback mitgeteilt, dass nicht mein Paybackkonto gehackt wurde sondern mein email Konto!? Dabei habe ich für beide Konten unterschiedliche Zugangsdaten! Auch habe ich nie eine Pischingmail beantwortet. Payback redet sich um Kopf und Kragen, Hauptsache der Kunde ist der Dumme. Mich wundert, dass die Paybackpartner nicht Druck auf Payback ausüben denn die Geschädigten sind nicht die Kunden von Payback sondern Kunde der Partner.
Einlösung von 11.200 Punkte bei Real in Mönchengladbach, gegen 21:30 Uhr – ich war noch NIE in Mönchengladbach!!!
Das Problem könnte die Hotline bei Payback sein!
Uns ist vor einigen Jahren aufgefallen, dass plötzlich 40 Euro von Paybackkonto eingelöst wurden. Nach langem Telefonat (ca. 1 Stunde) mit der gebührenpflichtigen Hotline erfuhren wir, dass man uns vor einiger Zeit eine Ersatzkarte zugeschickt hätte – die Adresse war nicht unsere, hatte aber einen ähnlichen Namen. Die Frau hatte zufälligerweise sogar den selben Vor- und Nachnamen wie meine Frau.
Fazit: Eine Person mit gleichem Namen in der gleichen Stadt, konnte via Hotline die bei Payback hinterlegte Adresse, das Geburtsdatum und die eMail-Adresse ändern und so unseren Payback-Account kapern!
Der Datenschutzverantwortlich von Payback wies diese Möglichkeit energisch zurück. Aber auch wir konnten das Geburtsdatum der anderen Person aus der Hotline „herauskitzeln“.
Ich würde das ganze mal wieder aufleben lassen…
Lang bin ich mit meinem Guthaben von fast 100.000 Punkten rumgelaufen, nichts ist passiert. Bis ich am 5.4.18 dachte, ich lös doch mal ein Teil der Punkte bei dm ein, dort dann direkt damit gezahlt… und prompt am 7.4. punkteklau über Real, der Rest war alles weg.
Wenn da mal nicht ein Zusammenhang besteht…
…und der Punkteklau geht weiter. Mir wurden aktuell 17900 Punkte geklaut über die bekannte Masche….Gutschein über REWE und dann in einem REWE Markt in Berlin eingelöst. Mehr Informationen hab ich leider nicht bekommen. Anzeige ist gestellt gegen unbekannt.
Gibt es eigentlich irgendjemanden der seine Punkte von Payback zurück bekommen hat?
@Romy Huber: Nachdem Payback über den Punktediebstahl informiert wurde, dauert es meist ein paar Wochen. Liegen keine Anzeichen für ein Verschulden des Kunden vor, wurden die Punkte in der Vergangenheit erstattet. Im Umkehrschluss dürfte das bedeuten, dass Payback in diesen Fällen Anzeichen gefunden hat, dass es tatsächlich eine Sicherheitslücke bei Payback gab. Was aber natürlich nicht zugegeben wird.
Auch mir wurden vor ein paar Tagen 11000 Punkte geklaut, auf Nachfrage bei Payback bei einen Rewe in Berlin. Soeben Strafanzeige gestellt, wird zwar eh nichts bei rauskommen, aber das war es mir wert.
Mal schauen, wie sich Payback nun verhält und ob ich die Punkte irgendwann wieder bekomme.
Phishing Mail schliesse ich aus, daher wohl die hier so oft genannte Methode.
Ich hatte das anfangs gar nicht verstanden, es kam eine Mail von Payback mit Herzlichen Glückwunsch bla bla, erst als ich heute mein digitales Guthaben auf meiner Karte bei Rewe in Pinneberg einlösen wollte und das natürlich nicht ging, wurde ich hellhörig. Seit der Mail sind 5 Tage vergangen, aber das spielt wohl eh keine Rolle.
Kleiner Nachtrag, mir wurden 6 Punkte nach dem Diebstahl gutgeschrieben, es wurde also für ein lächerlich kleinen Betrag eingekauft und der Rest in bar ausgezahlt, was ja angeblich gar nicht gestattet ist, wie oben im Text zu lesen war…..
Update: Mir wurden die Punkte aus Kulanz vollständig erstattet.
Hab mir das dann gleich mal aufs Konto auszahlen lassen.
Paypal hat wie üblich das Geburtsdatum zum Login entfernt.
Mir wurden über 23000 punkte geklaut. Payback redet sich raus, hat natürlich keine sicherheitslücken… habe steafanzeige gestellt aber es tat sich nichts. Nun über 1 jahr her. Pishing kann ich auch ausschliessen. Eingelöst wie fast immer in einem rewe markt. Wenn rewe eine sicherheitslücke zugibt würden die paybackpartner druck machen und aussteigen weil wir kunde der partner sind und nicht von payback. Das kann payback nicht riskieren. Die punkte werden nicht erstattet. Viel zu groß ist die angst von payback, dass alle geschädigte ihre punkte zurück haben wollen. Es geht um sehr viel geld!
Mir wurde vor 2 Wochen das gesamte Punktekonto entwendet, leider konnte ich auf der App nur REAL erkennen. Bei solch einem Markt war ich noch nie. Nach Beschwerde bei Payback wurden mir die Punkte wieder gut geschrieben, aus Kulanz. Sämtliche Passwörter geändert und nach nur 14 Tagen war mein Punktekonto wieder leer. Dieses mal stand auf der App einfach nur REWE und die abgezogenen Punkte. Das habe ich nur gemerkt, dass mein Konto gesperrt war und ich von der Hotline die Auskunft bekam, dass aufgrund sehr vieler Zugriffe auf mein Konto aus Sicherheitsgründen das Konto gesperrt wurde. Leider zu spät.
Andere Konten nutzen eine zwei oder sogar dreistufige Identifizierung, um Geld zu bekommen, warum nicht auch dieses System.
Ich habe den ganzen Mist jetzt gekündigt, wenn man scheinbar so einfach an fremder Leute Geld kommt, dann ist das Programm das Plastik nicht wert, worauf die Karten gedruckt sind.
Mögen dem Dieb sämtliche Finger scheibchenweise bei vollem Bewusstsein abfaulen, als anderer Leute sauer Verdientes aus den Taschen zu ziehen.
@Thorsten: Es gibt drei Log-In Varianten bei Payback. Mit Pin, Geburtstag und PLZ oder mit Passwort. Die ersten beiden Varianten können relativ leicht überwunden werden. Und in den meisten Fällen wird über eine dieser Varianten das Konto leer geräumt. Daher sollten diese Log-In Varianten unbedingt deaktivert werden. Payback entfernt hierzu meistens automatisch das Geburtsdatum aus dem Datenbestand. Darüber hinaus ist ein sicheres Passwort zu vergeben und es ist zwingend die vierstellige Pin zu ändern, da die Pin an den Service-Points bei REWE weiterhin zur Anmeldung genutzt werden kann. Das Guthaben sollte man sich zudem möglichst umgehend auf das Konto auszahlen lassen oder anderweitig einlösen. In deinem Fall wurde die Pin vermutlich nicht geändert, so dass die gleichen Betrüger sich den gutgeschriebenen Betrag nochmals mit Hilfe der gleichen Zugangsdaten wie beim ersten Zugriff bei REWE erschleichen konnten.
Ich hatte direkt nach der ersten Abräumung sämtliche Daten geändert, inklusive des Passwortes, was aus einer sinnlosen Kombination aus Zahlen, Buchstaben und Sonderzeichen bestand, neben der sinnfreien Kombi aus Groß- und Kleinschreibung innerhalb des Passworts. Das Passwort gab es nur für dieses Konto.
Für mich ist das Projekt Payback ein für alle mal vom Tisch, weil der Fehler liegt ja immer bei anderen Leuten.
@Torsten: Ich gehe nicht davon aus, dass es am Passwort lag, sondern an der PIN. Es könnte schon ein Grund haben, warum gerade bei REWE die Punkte eingelöst werden. Dort ist ein Log-In mit der Kartennummer + PIN am Service-Point ausreichend.
@Torsten: Was heißt sämtliche Daten? Für den Log-In werden je nach Autorisierungsmöglichkeit Geburtsdatum, Postleitzahl, PIN oder das Passwort verwendet. Geburtsdatum und Postleitzahl sind keine Daten, die man einfach so ändern kann.
Wenn ich das hier lese Platz mein Kragen vor Lachen.
Wie hier spekuliert wird. Haha.
Die payback Nummer lässt sich durch diverse Apps oder auch der payback App selbst als Strichcode bzw virtuelle payback Karte anzeigen.
Die Logins kommen folgendermaßen zustande.
Die Opfer wurden gephised. Entweder Mail und Passwort oder auch Mail und Passwort von anderen Accounts.
1.variante. Mail und Passwort passen auf Mail login (was schon reicht um das Passwort und PIN zurückzusetzen)
oder was häufig der Fall ist überall wird das selbe Passwort genutzt und man kann sich direkt in der App einloggen und hat die virtuelle Payback Karte.
Punkte können online gebucht werden.
100 euro bei rewe (vor paar Monaten noch ohne Limit) pro Tag.
Real 100 euro pro Tag – real zahlt den kompletten Rest Betrag in bar aus. Heißt 100 euro aufladen – 1 Kaugummi an der Kasse kaufen. Die virtuelle payback Karte hinhalten. 1 Euro wird verechnet 99 Euro gibt es bar auf die Hand.
Aral geht mit pin.
Kaufhof mit pin und Passwort. Restbetrag wird auf eine gesxhkkarte der Filiale gebucht.
DM Passwort PIN oder Geburtsdatum PLZ.
Direkt an der Kasse. Kein Limit.
2. Variante
Selbst wenn der Email Login nicht funktioniert kann man mit den Daten die gephised wurden. (als Beispiel nehmen wir mal paypal oder ebay)
Manche Leute haben 1 Passwort für Email und ein zweites für die meisten anderen Accounts.
Für den Login in App reicht auch Email und Passwort aus.
Ist man in der App drin hat man alle anderen daten auch. Mit denen man wieder online buchen kann.
So jetzt zu den Leuten die sich hier beschweren das sie 2 mal leergeräumt wurden.
Ihr bekommt aus Kulanz die Punkte wieder gutgeschrieben. (payback kann nichts dafür das ihr euch bei ebay oder Paypal oder wo auch immer eure Daten Phishen lassen habt.} ihr bekommt explizit die Info auch das Passwort der Email Adresse zu ändern. Das tun aber die wenigsten.
Heißt man muss nur 6 Wochen warten das Passwort über vergessen neu zurück setzen. Die Emails dazu löschen und kann das ganze wieder machen.
99% schuld haben die Nutzer nicht payback oder irgendwer anders.
@Derwissemde: Zunächst einmal möchte ich darum bitten respektvoller seine Meinung zu äußern. Reine Spekulation ist einzig Ihre Meinung, die in vielen Punkten nachweislich falsch ist.
1. Payback erstattet grds. nur dann die Punkte aus „Kulanz“, wenn Phishing ausgeschlossen wird. Für diese Prüfung benötigt Payback bis zu 8 Wochen!
2. Leer geräumt werden zu 99% diejenigen Payback-Konten, bei denen noch gar kein Passwort vergeben wurde, also bei denen der Login noch mit Geburtsdatum + PLZ oder der vierstelligen Pin erfolgt. Mit einer gehackten Emailadresse, Paypal- oder eBay-Account hat das also überhaupt nichts zu tun.
3. Es wurden auch Payback-Konten von Personen leergeräumt, die gar keinen Internetzugang haben. Da dürfte Phishing mit ziemlicher Sicherheit ebenfalls auszuschließen sein.
In diesen Fällen entfernt Payback dann auch das Geburtsdatum aus dem Datensatz und empfiehlt die Änderung des PIN. Payback kennt also genau die Ursache. Die Schwachstelle sind die alten unsicheren Log-In Verfahren. Unverständlich warum Payback nicht zwangsweise diese Verfahren zu Gunsten eines Passwortverfahren, ggf. auch mit Zwei-Faktor-Authentifizierung wie es Amazon, Paypal oder eBay inzwischen anbietet, ermöglicht.
Wären die Betroffenen Opfer einer Phishing-Attacke, würden sich die Täter auch kaum damit begnügen das Payback-Konto zu plündern.
Heute wieder mal 2600 Punkte von meinem Payback unrechtmäßig eingelöst bei REWE
kundendienst weniger minuten Informiert gibt aber keine Filiale bekannt
Bearbeitung soll 8wochen dauern
Am 29.4.2020 um 08:31 wurden von meinem PayPal Konto von unbekannter Seite 8.500 Punkte gegen Rewe Einkaufsgutscheine (1x 50,00 €, 1x 35,00 €) eingetauscht. Am gleichen Tag um 16:23 Uhr wurden diese Gutscheine im REWE Markt in der Würzburger Str. 19 in 91074 Herzogenaurach vorgelegt. Im Rahmen des Einkaufes wurden 79,99 € eingelöst. Neben einem Notizbuch wurden hier 2 PAYSAFE-Gutscheine im Gegenwert von € 75,00 gekauft.
PAYBACK erklärt, dass eine Barauszahlung von Einkaufsgutscheinen nicht zulässig ist!
So kann ich überhaupt nicht verstehen, wie man dann mit Einkaufsgutscheinen Guthabenkarten erwerben kann, die man in tausenden von Webshops einlösen kann. Es wäre ja noch so, wenn im Rahmen des Kaufes die Kartennummern dieser Karten gespeichert werden würden und man dann die Einlösung nachvollziehen könnte. So könnte man einem Betrüger wie im vorliegenden Fall problemlos überführen. Oder, warum gibt es angeblich aus Datenschutzgründen in Herzogenaurach keine Kamera im Kassenbereich – dann könnte die Polizei wie im hier geschilderten Fall ermitteln:
https://dubisthalle.de/fahndung-nach-payback-betrueger
Aber so gehen Payback und REWE ja nicht vor. Sie tauschen Guthaben, die auf betrügerischer Art und Weise erzeugt wurden, praktisch gegen Bargeld.
Mit dieser Vorgehensweise bin ich in keinster Weise einverstanden. Im Zusammenhang mit REWE und Payback gibt es mehrere 1000 Betrugsfälle, die offensichtlich alle nach dem gleichen Muster ablaufen. Ich habe nicht den Eindruck, dass hier alles unternommen wird, um diese Betrugsfälle zu verhindern.
@Stefan Marschhäuser: Der Kauf einer Geschenkkarte ist keine Auszahlung, sondern ein regulärer Kauf eines Artikels. Das ist somit natürlich möglich. Die Schwachstelle liegt eindeutig in den mangelhaften Sicherheitsvorkehrungen von Payback. Die Masche funktioniert bereits seit Jahren ohne, dass Payback die Sicherheit verbessert hat. Daher sollte man unbedingt ein sicheres Log-In Passwort einrichten und die PIN und das Geburtsdatum bei Payback sperren lassen.
Bei mir war es ziemlich ähnlich. Auch Gutscheine im Wert von 50 und 35 Euro bei REWE eingelöst. Unglaublich wie dreist Paypack die Schuld dem Nutzer zuschiebt.
Hallo, ich bin jetzt aktuell im Juni 2020 betrogen worden. Einlosung meiner 8500 Punkte erfolgte bei REWE. Paypack schiebt mir die Schuld zu, obwohl keiner meine Daten haben kann, weil ich mich nirgends einlogge und mein Konto über die App einsehe. Da gebe ich aber keine Zugangsdaten ein. Nachdem ich das gelesen habe, werde ich mich erneut an Paypack wenden und auch Anzeige erstatten.
Auch mir sind im Juni 2020 Punkte abhanden gekommen über Einlösung als REWE-Guthaben. Payback behauptet, mein e-mail Konto sei gehackt worden und payback somit nicht verantwortlich. Allerdings gibt es laut meinem e-mail Provider kein Anzeichen auf einen unberechtigten Zugriff. Abgesehen davon sind meine Zugangsdaten nicht im e-mail Konto hinterlegt und die Einlösung als Guthaben nur im Markt mit Karte und PIN möglich. Der Mitarbeiter konnte mir dann auch nicht sagen, wie die Punkte eingelöst wurden, nur dass es am Angeblichen Hack meines e-mail Kontos läge..
Schlimm genug, dass es offenbar eine Sicherheitslücke gibt, aber das Payback sich so erbärmlich herausreden will und uns Kunden für dumm verkaufen will ist das Letzte
Hallo an alle,
würden mir alle Opfer bitte mitteilen, in welchem REWE die Guthaben ausgegeben wurden?
Wir versuchen die Täter/innen dsbzgl. zu stellen, respektive durch das LKA stellen zu lassen.
Jeder ehrliche Hinweis kann nützlich sein.
Mit freundlichen Grüßen sowie besten Wünschen
Bleiben Sie Sicher und Gesund
…
Ich habe heute festgestellt das mein Payback Konto geplündert wurde bei Rewe das liegt bestimmt nicht an meinem Passwort weil meine sehr sicher sind es sind nur 500 Punkte ist aber trotzdem ärgerlich
Hallo.
Das hier ist meine letzte Hoffnung,denn dann gebe ich auf.Versuche seit 2 Wochen das man mir hilft.Heute schon wieder für über 200,00 EURO bei REWE in Waldkirch eingekauft,und keine Sonerpunkte bekommen,wiel ich nicht mehr in euer System reinkomme.Da ich 2 Karten besitzewerden wahrscheinlich die Paßwörter vertauscht,sowie auch die Pinns.!.Karte:8xxxxxxxx5 mit 11351 Punkten!!! 2.Karte:2xxxxxxxx7 mit 845 Punkten (Doppelkarte)Habe heute für 204,20 Euro eingekauft.Im Markt 5844,an Kasse2 BON Nr.:2185!!!Dabei habe ich sehr viele Punkte verloren.Bitte helfen Sie mir.Mein Vorschlag:Alle Punkte zusammen auf neue Doppelkarte schreiben.Und dann mit neuem Passwort einscannen.Das ich wieder auf neuestem Stand bin.Und wieder in alle Programme reinkomme.
Viele Grüße aus Waldkirch
@Johann Schneider: Bitte wenden Sie sich an den PAYBACK Kundenservice: (+49) 089 / 540 20 80 20
Update vom 14.01.2024: Payback räumt in aktuellen Mailing-Kampagnen erstmals ein, dass die Einlösemethode Geburtsdatum & Postleitzahl unsicher ist. Mehr dazu im Blogbeitrag.