Immer mehr LeserInnen beschweren sich über die unberechtigte Einlösung von Payback-Punkten durch Dritte. Was ist an dem Punktediebstahl dran? Und was sagt Payback dazu? Ist Payback unsicher? Wir haben uns mit dem Unternehmen in Verbindung gesetzt.
Payback ist immer wieder mal ein Gesprächsthema unter unseren Lesern. Aktuell melden sich viele ziemlich verärgerte Verbraucher und berichten von einem Punkteklau auf ihrem Payback-Konto. Teilweise gehen die gestohlenen geldwerten Punkte in einen umgerechneten vierstelligen Euro-Bereich. Das ist sehr ärgerlich. Einige der Opfer sind sich sicher, dass Sie
nicht auf Phishing-Mails hereingefallen sind.
Damit Ihnen das auch nicht passiert, berichten wir immer wieder von Phishing-Nachrichten im Namen von Payback. Mit diesen Mails wollen die Betrüger an Ihre Punkte. Aber so manche Nachricht konnte von uns auch schon als echte Payback-Mail enttarnt werden. So auch die E-Mail, in der es um die Vervollständigung Ihres Profils geht. Allerdings hatten wir es auch schon mit gefälschten Webseiten zu tun. Am Ende haben die Kriminellen Ihre Zugangsdaten eingesammelt und anschließend unbefugt Ihre Punkte eingelöst. Das ein Punkteklau aber nicht immer online geschehen muss, hat 2016 der Test von sternTV gezeigt. Damals waren die Terminals die Schwachstelle im System von Payback.
Wie kommt es zu dem aktuellen Punktediebstahl?
Diese Frage stellen sich derzeit viele Payback-Nutzer. Und auch wir haben uns intensiv mit dieser Frage auseinandergesetzt. Fakt ist, dass Payback sowohl gegenüber Kunden als auch der Presse gegenüber jegliche Fehler von sich weist. So schreibt die Payback-Pressestelle auf unsere Anfrage:
Datendiebe sind entweder über gefälschte E-Mails (Phishing-Mails) an Ihre Daten gelangt, oder jemand hat ihre E-Mail- und Passwort-Kombination in anderer Weise ausgespäht.
…
Wir wissen, dass es Phishing Mails „im PAYBACK Stil“ gibt, gegen die unsere Security aber immer schnell Maßnahmen ergreifen kann. Unsere Alarmsysteme funktionieren hier gut. Wir informieren unsere Kunden in solchen Fällen sofort, u.a. in unseren sozialen Kanälen und auf der Homepage (www.payback.de/sicherheit und www.payback.de/phishing).
Wie wohl auch bei vielen anderen Unternehmen haben Phishings seit Beginn der Corona-Krise zugenommen. Die Wahrscheinlichkeit, dass Kunden auf im PAYBACK Stil gefälschte Emails reagieren, ist somit leider höher.
Payback schreibt weiter, dass das Unternehmen in großen Kampagnen den Nutzern erklärt, wie Sie sich besser schützen können.
Damit schiebt Payback seinen Kunden den schwarzen Peter zu. Wahrscheinlich werden auch aus diesem Grund die gestohlenen Payback-Punkte nicht erstattet. Dazu bestehe „auch keine rechtliche Verpflichtung“ .
Veröffentlicht: 12. November 2016
Die Android- und iOS-App Payback ist die Anwendung zum gleichnamigen Rabattsystem. Während Sie früher Coupons und Informationen nur per Post erhalten haben, nutzen Sie heute die App. Den lästigen Papierkram sparen Sie sich dabei. Die
Ist das Payback System wirklich sicher?
Diese Frage haben wir Payback ebenfalls gestellt. Denn aus unserer Sicht scheint die Einlösung von Punkten mithilfe der Kundennummer, der Postleitzahl und dem Geburtsdatum eine Schwachstelle zu sein. Denn immerhin handelt es sich hier um öffentlich zugängliche Daten.
Ein Beispiel: Sie möchten in einem Onlineshop Ware bestellen, der mit Payback zusammenarbeitet. Damit dieser Onlineshop sicher geht, dass Sie bereits 18 Jahre sind, müssen Sie Ihr Geburtsdatum eingeben. Die Postleitzahl wird spätestens bei der Lieferadresse gebraucht. Diese geben Sie also ebenfalls an den Shop weiter. Möchten Sie nun Payback-Punkte sammeln, werden Sie gebeten, die Payback-Kundennummer einzugeben. Damit hat der Onlineshop alle relevanten Daten (selbst wenn diese vorerst verschlüsselt vorliegen).
Wird der Onlineshop Ziel eines Cyberangriffs, gehen diese Daten an die Kriminellen. Schaffen diese es, die Verschlüsselung der Daten aufzuheben, haben die Betrüger alle Daten, um an Ihre Punkte zu kommen. Genauso denkbar wäre aus unserer Sicht, dass es bei einem Onlinehänder eine menschliche Schwachstelle gibt. Im schlimmsten Fall könnte ein Fakeshop die Daten abfragen und so an die Informationen zum Einlösen der Punkte kommen. All diese Sicherheits-Lecks würde es nicht geben, wenn Payback ausschließlich eine sichere Anmeldung mit Passwort und Zwei-Wege-Authentifizierung anbieten würde.
Payback beteuert auch hier, dass das System absolut sicher ist:
Es liegt kein Verschulden von PAYBACK vor, auch nicht der PAYBACK Mitarbeiter oder der Mitarbeiter von Partnerunternehmen (nein, sie haben keinen Zugriff auf PAYBACK Daten anderer Partner!). Datenschutz und Datensicherheit haben bei uns oberste Priorität. Kundendaten werden bei der elektronischen Übertragung mit dem international anerkannten Sicherheitsstandard TLS (Transport Layer Security) und mindestens 128 Bit verschlüsselt und eine mehrstufige Sicherheitsarchitektur sichert den Zugang ab.
Uns stellt sich dir Frage, inwieweit Payback überhaupt für die Partnerunternehmen und deren Sicherheitssysteme sprechen kann? Schade finden wir, dass Payback offensichtlich nicht bereit ist über die Sicherheit der Kundenkonten zu diskutieren. Wenn ein Kundenkonto nur mit öffentlich verfügbaren Informationen abgesichert ist, kann aus unserer Sicht der Datenschutz keine hohe Priorität haben. Zumal das Problem bereits seit Jahren besteht. Da es sich bei Payback-Punkten um einen Geldwert handelt, sollten die Konten der Kunden ähnlich gut gesichert sein, wie ein Bankkonto. Doch das ist nicht der Fall. Bis heute bietet Payback keine Zwei-Faktor-Authentifizierung an, die den Punkteklau unmöglich machen würde.
Wie können die Zugangsdaten noch in die Hände von Dritten geraten sein?
Ein anderes Szenario wäre, dass die Computer der betroffenen Leser mit Schadsoftware infiziert wurden, welche die Zugangsdaten für Onlineaktivitäten abfängt. Allerdings wäre es in dem Fall wahrscheinlicher, dass die Kriminellen auf das Onlinebanking und andere Onlinekonten der Opfer zugreifen, als ausschließlich auf die Payback-Punkte.
Veröffentlicht: 12. November 2016
Ihr Payback Passwort sollten Sie wie bei allen anderen Onlinekonten in regelmäßigen Abständen ändern. Das trägt zu mehr Sicherheit bei. Wir erklären in diesem Artikel, wie Sie Ihr Payback Kennwort ändern. Außerdem erfahren Sie, wie Sie
Payback ist um Sicherheit bemüht
Nachdem Sie sich lange Zeit bei Payback immer mit der Kundennummer, der Postleitzahl und dem Geburtsdatum einloggen konnten, gibt es mittlerweile die Möglichkeit, auf die „Secure Login Methode“ mit E-Mail-Adresse und Passwort umzustellen. Sie können sogar einen PIN für die Einlösung von Punkten festlegen.
Unser Test in einem dm-Markt zeigt, dass der PIN dort allerdings nicht interessiert. Vielmehr wird hier nach Postleitzahl und Geburtsdatum gefragt. Payback schreibt auf Nachfrage, dass es sich dabei um die bevorzugte Methode der Kunden handelt – vor allem wenn es schnell gehen muss. Aber nicht immer ist die schnellste Methode auch die sicherste Methode. Hier ist aus unserer Sicht Payback in der Pflicht nachzubessern.
Was können Sie bei einem Payback-Punktediebstahl tun?
Payback empfiehlt, dass Sie sich an die Polizei wenden und Anzeige erstatten. Das ist in vielen Bundesländern mittlerweile auch online möglich. Um sicher zu gehen, dass Ihr Computer nicht mit Schadsoftware infiziert ist, könnten Sie ein Antivirenprogramm laufen lassen. Ebenso empfehlen wir Ihnen, das aktuelle Payback-Passwort zu ändern, auch wenn das nach wahrscheinlich nicht viel bringt. Nutzen Sie ein sicheres Passwort.
Fazit
So ärgerlich es auch ist, wir wissen derzeit auch nicht, wie es zu dem Punkteklau bei Payback kommt und können nur Vermutungen anstellen. Fakt ist, dass es für die Verbraucher sehr frustrierend ist, wenn das Unternehmen bei einer dermaßen hohen Anzahl an Opfern jegliche Schuld auf die Kunden schiebt und alle Fehler von sich weist. Sowohl in der Wahrnehmung der Verbraucher als auch aufgrund der Fakten erweckt das Payback-System den Eindruck, dass Payback unsicher ist. Und daran können nicht die Kunden schuld sein. Letztlich muss Payback wirksame Maßnahmen ergreifen, um den Diebstahl von Punkten und damit Geld zu unterbinden.
Wie ist Ihre Erfahrung mit Payback?
Sind Sie auch von einer unbefugten Einlösung der Payback-Punkte durch Dritte betroffen? Haben Sie im Vorfeld E-Mails von Payback erhalten? Da Payback uns gegenüber nicht geäußert hat, wie viele Punkte innerhalb des letzten Jahres gestohlen wurden, interessiert uns, wie hoch der Schaden bei Ihnen ist. Nutzen Sie die Kommentare unter dem Artikel, um sich mit anderen Lesern auszutauschen.
Sollten Sie eine E-Mail von Payback erhalten, bei der Sie nicht sicher sind, leiten Sie diese an [email protected] weiter.
War dieser Artikel hilfreich für Sie?
Benutzer-Bewertung
3.3
(10 Stimmen)
Leider wurde ich auch Opfer des Punktediebstahls. Ich erhielt vor zwei Tagen eine Mail mit dem Inhalt…
Lieber Herr …,
vielen Dank! Sie haben Punkte im Wert von 25.00 EUR eingelöst.
Ihre eingelösten Punkte wurden als Guthaben digital auf Ihrer PAYBACK Karte hinterlegt. Das Guthaben wird bei Ihrem nächsten REWE Einkauf automatisch an der Kasse zur Bezahlung genutzt.*…“
Ich kann mir wahrhaftig nicht vorstellen, dass der Diebstahl nicht zurückverfolgbar sein soll. Punkte werden gutgeschrieben und eingelöst… Irgendwo muss es einen Anknüpfungspunkt geben, da ja keine Barauszahlung erfolgt. Spätestens wenn die aufgeladene Karte benutzt wird, müsste irgendwo ein Alarm angehen.
Hallo,
ich habe auch gerade mit Erschrecken festgestellt, dass am 24.07.2020 10.700 Punkte bei Penny eingelöst worden sind.
Wo kann ich sehen, wo das gewesen sein soll? Ich war in meinem ganzen Leben noch nie in einem Penny……..!!
Hallo, ich habe vorhin festgestellt, dass gestern von meinem Payback Konto 4500 Punkte = 45 Euro bei einem Rewe in Berlin eingelöst wurden, ich bin aus BaWü.
Hab gleich eine Mail an Payback geschickt und dachte das wird sich aufklären, aber beim weiteren stöbern bin ich u.a. auf dieser Seite gelandet und das macht mir keine großen Hoffnungen.
Ich stimme meinen Vorschreibern ebenfalls zu. Auch mein PC ist sicher und ich habe keine gefakte Email geöffnet. Dennoch wurden von meinem Payback-Punktekonto in 05/2020 in zwei Buchungen 10.000 Punkte in einem Rewe-Markt in Duisburg (ich wohne in Bayern) eingelöst (die Punkte hatte ich erst wenige Tage vorher gesammelt). Ich habe Anzeige erstattet und einen Rechtsanwalt eingeschaltet. Payback antwortet aber auf keines der Rechtsanwalts-Schreiben. Es bleibt damit nur der Klageweg. Aufgrund des geringens Streitwertes wird sich aber kein Verbraucher dazu durchringen. Es ist unfassbar, dass hier niemand etwas unternehmen kann oder will. Selbst negative Presseberichte scheint Paypack nicht abzuschrecken an ihrem unsicheren System festzuhalten. Warum kann niemand die REWE-Einlösungen der Diebe digital nachvollziehen? Es gibt Überwachungskameras und Kartenzahlungen. Die Diebe werden irgendwo im Netz oder an der REWE-Kasse Ihre Spuren hinterlassen haben. Das muss doch im Zeitalter der Digitalisierung möglich sein. Doch weder bei der Schadenanzeige noch vom Rehtsanwalt wurde mir hier Hoffnung gemacht. Vermutlich wird sich erst etwas ändern, wenn alle Verbraucher auf den Einsatz von Payback komplett verzichten, damit das Unternehmen einen Druck verspürt.
Mir wurden letzte Woche 24.000 Punkte geklaut, 2x bei Rewe 4 x bei DM, alles in FFM.
Natürliche „keine Schuld“ bei Payback.
Werde jetzt auch die Punkte in Geld umwandeln lassen und meinem Konto regelmäßig gutschreiben.
Bei mir waren es 18 000 Punkte! 180 Euro. Ich wollte sie gestern Abend in Gutscheine umwandeln und habe das ganze Ausmaß gesehen. 2 mal im Rewe und 2 mal im Penny eingelöst.
PP weist wie bei allen anderen Nutzern jegliche Schuld von sich. Ich habe keine dubiosen Mails erhalten oder irgendetwas geöffnet.
2x je 2000 Punkte bei REWE während meine Karte und ich in Holland waren. Karte gesperrt, Schuld bin alt. Payback natürlich ich. Absolute Frechheit.
Mir wurden aktuell 1530 Punkte über Thalia gestohlen.
Guten Tag,
bei mir sind es 6.000 Punkte (= 60 €), gestern in 2 Durchgängen bei einem REWE geklaut.
Auch ich bin Opfer des Punkteklaus geworden. Gleich zweimal am 20.08.2020 und 21.08.2020 . Insgesamt 190 Euro, die bei drei verschiedenen Rewe in München eingelöst worden sind, ca. 600 km von mir entfernt. Habe heute Strafanzeige gestellt. Da ich keinerlei Pishing Mail erlegen bin, finde ich auch, dass Payback sich das ganze zu einfach macht und ich bin auch der Meinung, dass es Sicherheitslücken im System gibt.
Mir wurden heute ca 5000 Punkte bei Rewe geklaut. Ich finde es merkwürdig das es bei vielen Leuten der Rewe ist. Da gibt es einen Zusammenhang. Ich finde es unverschämt das Payback garnicht darauf eingeht. Ich bin seit vielen Jahren dabei und habe einige Prämien gesammelt. Nun bin ich sehr enttäuscht und überlege mich abzumelden. Das macht ja kein Sinn mehr… Kann mir ja wieder passieren. Wozu dann das ganze?! Werde jetzt andere Leute auch warnen.
Es wurden bei mir ca. 35 € in einem Rewe Markt in Kiel eingelöst. Lebe in Düsseldorf und war noch nie in meinem Leben in Kiel.
Von Payback erhält man nur ein Standard Schreiben, von wegen Pishing Mail etc. Das kann ich völlig ausschließen! Seltsam ist, dass beim Einlösen meiner Punkte gleichzeitig Punkte gesammelt wurden! Das geht m.E doch nur, wenn ich die Karte oder App an der Kasse vorzeigen.
Ich werde meine Konsequenzen ziehen.
Von mir wurden letzte Woche 7900 Punkte bei der REWE-Mockenhaupt-Kette eingelöst. Ich nehme an, dass die Paybackautomaten die Schwachstelle sind, da man ja mit PLZ, Geburtsdatum sich einloggen kann. Habe jetzt alles gekündigt. Meine Frau und ich werden nie wieder Payback nutzen
Es wurden vor 2 Wochen 72 Eur in einem Rewe eingelöst.
Leider wurden mir heute auch 3100 Punkte geklaut und bei Rewe als digitales Guthaben aufgeladen. Die Mail, dass ich Punkte eingelöst habe, kam heute Vormittag. Ich war dann etwas später bei Rewe. Natürlich war kein Guthaben drauf. Was ich mehr als bedenklich fand, ich konnte mich nur mit der Paypackkarte am Servicepunkt einloggen. Keine Pin, kein Geburtsdatum, nix…. Eine Karte zu kopieren mit einer Paybacknummer ist heute wohl kein Problem mehr. Und Paypack sagt, ihr System ist sicher? Da kann ich nur drüber lachen. Eine Phishing Mail habe ich definitiv nicht bekommen. Ich werde mich wohl abmelden. Ich sammle doch nicht umsonst! Traurig, dass Payback in keinster Weise reagiert, obwohl so viele Leute davon betroffen sind.
Bei mir waren es 4500 in einem Rewe Markt in Hamburg und komme aus Frankfurt. War seit 20jh nicht mehr in Hamburg. PP lebt jegliche Schuld ab und auch kein Ersatz. Das System ist total unsicher
Bei mir waren es am 07.08.2020 einmal 2000 und gleich danach nochmal 2800 Punkte bei REWE in Kassel. Ich hab mich sofort bei Payback gemeldet und meine „leere“ Karte wurde gesperrt. Ich habe am nächsten Tag angerufen und die Karte entspeeren lassen. Ich habe eine neue PIN und ein neues Passwort bekommen, seitdem komme ich nicht mehr in mein Paybackkonto.
Ausserdem hies es die Punkte seien in Fürth bei REWE eingelöst worden. Ich wohne weder in Kassel noch in Fürth. Und ausserdem sei meine Mailadresse gehakt worden. Das glaube ich nicht mehr.
Aber ich muss sagen, die Paybackmitarbeiterin am Telefon war super nett und sehr freundlich. Sie gab mir auch den Tip, das Geld auf mein Konto überweisen zu lassen.
Bei mir waren es wohl Bonny und Clyde o.Ä.. Gleicher Tag Ende Juli, direkt hintereinander bei Penny einmal 2.000 dann direkt danach 3.000 Punkte eingelöst. Mir gehts ähnlich wie manchen Nutzern hier, lösche generell „unwichtige“ Mails wie z.B. von PayBack direkt, sogar ohne sie vorher zu öffnen und Handy ist auch mit zusätzlicher Software geschützt. Ist nach meinem Empfinden jetzt kein Weltuntergang, da kein „hart verdientes“ Geld weg ist, aber trotzdem sehr ärgerlich, da ich diese Punkte gerne anderweitig eingesetzt hätte. 🙁
Mir wurden im Juni 2020 sage und schreibe 20.000 Punkte gestohlen und bei Rewe eingelöst. Meine Erfahrung ist ebenfalls, dass Payback die komplette Verantwortung von sich weist und den Verbraucher zum alleinigen Sündenbock macht. Sehr enttäuschend und ich werde meine Konsequenzen daraus ziehen.
Mir wurde auch heute meine Punkte geklaut. Fast 7000! In einem Real Markt in Karlsruhe. Hunderte km von mir entfernt…
Hallo..
mir wurden letzte Woche über 3600 Punkte geklaut.. diese wurden direkt in Gutscheine bei REWE eingelöst (Wert 36 €). Nachdem ich dies bei Payback gemeldet habe, habe ich das gleiche zu hören bekommen wie oben beschrieben. Ich muss auf eine Phishing Mail reingefallen sein bzw. eine Schadsoftware auf meinem Handy sein. Beides ist nicht möglich, da ich die Payback Mails immer direkt lösche und auf meinem Handy ein Anti Viren Programm installiert ist.
Punkte werden natürlich nicht erstattet da ich ja „selbst dran schuld bin“. Mir wurde auch vorgeworfen ein zu schwaches Passwort zu haben. Wirklich eine Frechheit!
Ich stimme meinem Vorredner ausdrücklich zu.
Ich habe rein theoretisch Payback. Aber meins funktioniert seit Jahren nicht, da ich mich sehr lang nicht einloggen konnte. Ja. Man kann sich mit Mailadresse und Passwort einloggen. Aber dann braucht man, anstelle einer unkomplizierten 2-Stufen-Autentifizierung, einen grafischen Code. Ähä, für blinde Punktesammler seeeeeeehr praktisch…
Die kleinen Leute, welche als Payback Mitarbeiter tätig sind/waren, bemühen sich sehr – das muss man denen echt lassen. Aber ich hab es immer und immer mal wieder versucht, es klappt einfach nicht. Die Seite ist mehr Grafik als Info – so hab ich zumindest immer das Gefühl.
Müsste mich mal nach meiner Payback Kundennummer erkundigen und es mal wieder versuchen.
Wenn es dann klappt bin ich natürlich bereit, die Bewertung zu verbessern. Das ist doch klar. Jedoch: Leider sind derzeit in meinem Fall keinerlei gute Erfahrungen gemacht worden.
Geklaut wurde mir auf meinem Konto bis dato noch nichts. Da kann ich vom Glück sprechen. Trotzdem ist das ganze System auch meines Ermessens nicht das Sicherste – und da geht’s um wesentlich mehr als um den Punkteklau. Da gehört, denke ich, das gesamte System mal überdacht.
Guten Abend, Payback ist bemüht, halte ich für ein Gerücht. Es fehlt auch ein Hinweis auf das, was der einzelne machen kann. Konto klein halten und sich die Punkte auf ein Konto überweisen lassen. Mit Link am besten.