Sicherheitslücke bei Payback: Sind Millionen Konten und Punkte in Gefahr?

Cyberkriminelle greifen derzeit massenhaft Payback-Konten an und entwenden Bonuspunkte sowie persönliche Daten. Ursache der Sicherheitslücke bei Payback ist eine Schwachstelle in der Sicherheitsarchitektur der App, die Recherchen von STRG_F aufdeckte. Dieser Beitrag beleuchtet die Hintergründe des Angriffs und zeigt notwendige Schutzmaßnahmen auf.

Wie funktioniert der Angriff auf die Payback-Konten?

Recherchen von STRG_F (NDR/funk) zeigen, dass Kriminelle eine Lücke im Sicherheitskonzept von Payback nutzen. Während die Website durch sogenannte CAPTCHAs (Bilderrätsel) gegen automatisierte Zugriffe geschützt ist, fehlt dieser Mechanismus offenbar bei der Schnittstelle der iPhone-App. Angreifende simulieren den Zugriff über ein iPhone und testen mithilfe von Bots millionenfach Zugangsdaten aus früheren Datenlecks (sogenanntes „Credential Stuffing“).

Da viele Nutzende identische Passwörter für verschiedene Dienste verwenden, gelingt der Login häufig. Ist der Zugriff erfolgreich, lesen die Täter Punktestände und Adressdaten aus. Anschließend verkaufen sie die verifizierten Zugangsdaten oder nutzen die Punkte für Einkäufe und Auszahlungen.

Welche rechtlichen Pflichten zur Datensicherheit bestehen?

Unternehmen sind gesetzlich verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Gemäß Art. 32 DSGVO gilt es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört auch die Absicherung von Schnittstellen gegen bekannte Angriffsmuster wie Brute-Force oder Credential Stuffing.

Fehlt eine solche Absicherung, liegt unter Umständen ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO vor. Payback verweist zwar auf eine „hochmoderne Sicherheitsarchitektur“, doch die erfolgreichen Angriffe deuten auf Nachbesserungsbedarf hin.

Wie schützen Sie Ihr Payback-Konto effektiv?

Der effektivste Schutz gegen diese Art von Angriffen ist die Zwei-Faktor-Authentifizierung (2FA). Bei aktivierter 2FA ist für den Login neben dem Passwort ein zusätzlicher Code notwendig. Payback bietet diese Funktion an, schreibt sie jedoch – anders als beispielsweise REWE – nicht vor.

Folgende Maßnahmen erhöhen die Sicherheit sofort:

• 2FA aktivieren: Schalten Sie die Zwei-Faktor-Authentifizierung in den Kontoeinstellungen ein.
• Individuelle Passwörter: Nutzen Sie für jeden Dienst ein einzigartiges Passwort.
• Passwortmanager: Verwenden Sie Tools zur Verwaltung komplexer Zugangsdaten.

Fazit: Sicherheitslücke bei Payback

Die aktuelle Angriffswelle auf Payback verdeutlicht die Notwendigkeit robuster Sicherheitsvorkehrungen und der Zwei-Faktor-Authentifizierung. Wenn Sie Payback nutzen, sollten Sie umgehend die empfohlenen Maßnahmen ergreifen.