Stuttgart. Millionen Payback-Konten könnten derzeit von einer massiven Sicherheitslücke betroffen sein. Recherchen des NDR/funk-Formats STRG_F zeigen, dass Cyberkriminelle die Schutzmechanismen des Bonusprogramms umgehen und sowohl Punkte als auch persönliche Daten stehlen können. Die Angriffe konzentrieren sich auf Nutzerinnen und Nutzer, die keine Zwei-Faktor-Authentifizierung aktiviert haben – und damit für die Täter zu leichten Zielen werden.
Die Angreifer greifen dabei nicht Payback direkt an, sondern nutzen riesige Sammlungen gestohlener Login-Daten aus früheren Datenlecks. Viele Menschen verwenden identische Passwörter für unterschiedliche Dienste, ein Umstand, den die Kriminellen systematisch ausnutzen. Mit automatisierten Programmen testen sie Millionen E-Mail-Passwort-Kombinationen, um sich unbemerkt bei Payback einzuloggen.
Eigentlich verhindert Payback solche Attacken durch Captchas, die bei zu vielen falschen Passwortversuchen erscheinen. Doch in der iPhone-App fehlt dieser Mechanismus weitgehend. Wer seinen Login als Zugriff über ein iPhone tarnt, stößt kaum auf Hürden. STRG_F konnte zeigen, dass sich mit dieser Methode zehntausende Konten in nur wenigen Minuten prüfen lassen, ohne dass Payback die Angriffe erkennt.
Gelingt der Login, greift das Hacking-Tool automatisiert persönliche Kundendaten ab, darunter Anschriften und gespeicherte Bonuspunkte. Diese Informationen landen anschließend auf kriminellen Marktplätzen. Käufer nutzen die erbeuteten Payback-Punkte, um sich Auszahlungen zu sichern oder gratis bei Partnerunternehmen einzukaufen.
Die verwendeten Rohdaten stammen aus sogenannten Combolisten, die in einschlägigen Foren kursieren. Diese bestehen aus teils Millionen kompromittierten Accounts, die aus Firmen-Hacks, Phishing-Angriffen oder früheren Datenlecks stammen. Mehrere solcher Datensätze mit Zugangsdaten deutscher Nutzer fanden die STRG_F-Reporter frei zugänglich im Netz.
Auf Anfrage verwies Payback lediglich darauf, dass Datenschutz und Datensicherheit höchste Priorität hätten und man auf „hochmoderne Sicherheitsarchitektur“ setze. Eine konkrete Einschätzung zur offengelegten Schwachstelle blieb jedoch aus. Payback empfiehlt zwar die Aktivierung der Zwei-Faktor-Authentifizierung, verpflichtet seine Kundschaft aber nicht dazu – anders als etwa REWE, das nach ähnlichen Vorfällen eine 2FA-Pflicht eingeführt hat.
Fest steht: Wer bei Payback keine Zwei-Faktor-Authentifizierung nutzt, ist derzeit einem erheblichen Risiko ausgesetzt. Denn genau dieser fehlende Zusatzschutz macht die massenhaften Logintests der Täter erst erfolgreich.
