In einem Onlineforum berichten Rewe-Bonus-Nutzer, dass ihr gesammeltes Guthaben plötzlich verschwunden war. Das Unternehmen weist eine Sicherheitslücke zurück. Was steckt dahinter?
„Keine Sicherheitslücke“Kriminelle stehlen Rewe-Bonus-Guthaben
Von Anna Friedrich
Lesezeit 2 Minuten
Zum Jahresanfang hat sich Rewe von Payback verabschiedet und sein eigenes Bonusprogramm lanciert.
Copyright: Rewe / Michael Breuer
ANZEIGE
Seit sich die Rewe-Gruppe vom Bonussystem Payback verabschiedet und ihr eigenes Programm aufgelegt hat, hagelt es in den sozialen Medien Kritik am neuen System. Bei Facebook beschweren sich einige Kunden über das umständliche Programm und berichten, dass es sich für sie nicht lohnen würde. Nun macht das Bonussystem erneut Negativ-Schlagzeilen: Bei einigen Rewe-Kunden sollen sich Cyberkriminelle Zugang zu deren Bonus-Guthaben verschafft haben und nutzen Gutscheinkarten, um es zu Geld zu machen.
Ein Nutzer schreibt im Onlineforum Reddit: „Gestern um 17:59 Uhr bekomme ich eine E-Mail von Rewe, dass Sarah mit mir Bonus-Guthaben sammeln möchte. Um 18:16 Uhr wurde in einem Rewe in Hamburg von unserem Guthaben eine 35 Euro Paysafe Karte gekauft.“ In den Kommentaren unter dem Beitrag melden andere Nutzer, dass auch sie Opfer einer solchen Masche geworden seien. Die Taktik der Kriminellen: Die Rewe-App hat eine Funktion, mit der sich ein weiteres Konto verknüpfen lässt, etwa wenn ein Paar gemeinsam Bonuspunkte sammeln will. Beide können dann auf das volle Guthaben zugreifen.
„Es gibt keine Sicherheitslücke“
Eine Sicherheitslücke weist Rewe auf Anfrage zurück: „Es gibt keine Sicherheitslücke oder ein Leak in unserem System, vielmehr setzen die Betrüger auf Phishing und Datensammlungen im DarkWeb – illegale Methoden, die es seit vielen Jahren gibt, vielfältig kommuniziert und im Grunde allgemein bekannt sind“, sagt ein Sprecher. „Leider haben wir keinen Einfluss auf die individuell ausgewählten Passwörter der Kundinnen und Kunden, die bei jeder Form von Kundenkonten ein potenzielles Sicherheitsrisiko darstellen können.“
Rewe verweist auf die Möglichkeit, das Konto mit einer sogenannten Zwei-Faktor-Authentisierung vor Betrug abzusichern. Das heißt, Nutzer müssen dann nicht nur ihr Passwort eingeben, sondern eine weitere Sicherheitsschranke passieren – etwa einen Code eingeben, den sie per SMS bekommen. Rewe werde die Kunden auf diese Möglichkeit nun vermehrt hinweisen.
Experten empfehlen, bei verdächtigen Aktivitäten alle Online-Passwörter zu ändern und ein sicheres Passwort anzulegen. Das sollte aus einer Kombination aus Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen bestehen und für jede Anwendung einzigartig sein. Wer überprüfen möchte, ob seine E-Mail-Adresse möglicherweise von einem Datenleck betroffen ist, kann beispielsweise den „Leak Checker“ der Universität Bonn benutzen.