Photo: Ralf - stock.adobe.com
Sicherheitslücke bei Payback: Sind Millionen Konten und Punkte in Gefahr?
Geschrieben von Kemal Webersohn, veröffentlicht am 04.12.2025Cyberkriminelle greifen derzeit massenhaft Payback-Konten an und entwenden Bonuspunkte sowie persönliche Daten. Ursache der Sicherheitslücke bei Payback ist eine Schwachstelle in der Sicherheitsarchitektur der App, die Recherchen von STRG_F aufdeckte. Dieser Beitrag beleuchtet die Hintergründe des Angriffs und zeigt notwendige Schutzmaßnahmen auf.
Wie funktioniert der Angriff auf die Payback-Konten?
Recherchen von STRG_F (NDR/funk) zeigen, dass Kriminelle eine Lücke im Sicherheitskonzept von Payback nutzen. Während die Website durch sogenannte CAPTCHAs (Bilderrätsel) gegen automatisierte Zugriffe geschützt ist, fehlt dieser Mechanismus offenbar bei der Schnittstelle der iPhone-App. Angreifende simulieren den Zugriff über ein iPhone und testen mithilfe von Bots millionenfach Zugangsdaten aus früheren Datenlecks (sogenanntes „Credential Stuffing“).
Da viele Nutzende identische Passwörter für verschiedene Dienste verwenden, gelingt der Login häufig. Ist der Zugriff erfolgreich, lesen die Täter Punktestände und Adressdaten aus. Anschließend verkaufen sie die verifizierten Zugangsdaten oder nutzen die Punkte für Einkäufe und Auszahlungen.
Welche rechtlichen Pflichten zur Datensicherheit bestehen?
Unternehmen sind gesetzlich verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Gemäß Art. 32 DSGVO gilt es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört auch die Absicherung von Schnittstellen gegen bekannte Angriffsmuster wie Brute-Force oder Credential Stuffing.
Fehlt eine solche Absicherung, liegt unter Umständen ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO vor. Payback verweist zwar auf eine „hochmoderne Sicherheitsarchitektur“, doch die erfolgreichen Angriffe deuten auf Nachbesserungsbedarf hin.
Wie schützen Sie Ihr Payback-Konto effektiv?
Der effektivste Schutz gegen diese Art von Angriffen ist die Zwei-Faktor-Authentifizierung (2FA). Bei aktivierter 2FA ist für den Login neben dem Passwort ein zusätzlicher Code notwendig. Payback bietet diese Funktion an, schreibt sie jedoch – anders als beispielsweise REWE – nicht vor.
Folgende Maßnahmen erhöhen die Sicherheit sofort:
- 2FA aktivieren: Schalten Sie die Zwei-Faktor-Authentifizierung in den Kontoeinstellungen ein.
- Individuelle Passwörter: Nutzen Sie für jeden Dienst ein einzigartiges Passwort.
- Passwortmanager: Verwenden Sie Tools zur Verwaltung komplexer Zugangsdaten.
Fazit: Sicherheitslücke bei Payback
Die aktuelle Angriffswelle auf Payback verdeutlicht die Notwendigkeit robuster Sicherheitsvorkehrungen und der Zwei-Faktor-Authentifizierung. Wenn Sie Payback nutzen, sollten Sie umgehend die empfohlenen Maßnahmen ergreifen.
Sprechen Sie uns gerne an, bei Fragen zu Sicherheitslücke bei Payback: Sind Millionen Konten und Punkte in Gefahr?
Kemal Webersohn,
Geschäftsführer der WS Datenschutz GmbH und seit über zehn Jahren im Datenschutz und in der Informationssicherheit tätig.
Er schreibt außerdem auf unserem Blog zu Themen rund um Datenschutz, Informationssicherheit und die KI-Verordnung.
Weitere Artikel
- Datenschutz im Home-Office
- Verarbeitung von Visitenkarten
- Die NIS2 Richtlinie: Cyber-Resilienz gegenüber Datenangriffen und -Lecks
- Blockchains Teil 1 – Recht auf Löschung
- Wie sieht ein sicheres Passwort aus?
- Ist der externe Datenschutzbeauftragte auch externer Empfänger im Sinne der DSGVO?
Verwandte Artikel
- Ab wie vielen Mitarbeitern muss man einen Datenschutzbeauftragten bestellen?
- Wer muss einen Datenschutzbeauftragten (DSB) bestellen?
- Datenschutzkonforme Handhabung von Krankentagen im Aushang
- Ist der externe Datenschutzbeauftragte auch externer Empfänger im Sinne der DSGVO?
- Datenschutzbeauftragter und Betriebsratsmitglied: Ein Interessenkonflikt?
- Wer muss einen Datenschutzvorfall melden? DSB oder Verantwortlicher?