Photo: Ralf - stock.adobe.com
Sicherheitslücke bei Payback: Sind Millionen Konten und Punkte in Gefahr?
Geschrieben von Kemal Webersohn, veröffentlicht am 04.12.2025Cyberkriminelle greifen derzeit massenhaft Payback-Konten an und entwenden Bonuspunkte sowie persönliche Daten. Ursache der Sicherheitslücke bei Payback ist eine Schwachstelle in der Sicherheitsarchitektur der App, die Recherchen von STRG_F aufdeckte. Dieser Beitrag beleuchtet die Hintergründe des Angriffs und zeigt notwendige Schutzmaßnahmen auf.
Wie funktioniert der Angriff auf die Payback-Konten?
Recherchen von STRG_F (NDR/funk) zeigen, dass Kriminelle eine Lücke im Sicherheitskonzept von Payback nutzen. Während die Website durch sogenannte CAPTCHAs (Bilderrätsel) gegen automatisierte Zugriffe geschützt ist, fehlt dieser Mechanismus offenbar bei der Schnittstelle der iPhone-App. Angreifende simulieren den Zugriff über ein iPhone und testen mithilfe von Bots millionenfach Zugangsdaten aus früheren Datenlecks (sogenanntes „Credential Stuffing“).
Da viele Nutzende identische Passwörter für verschiedene Dienste verwenden, gelingt der Login häufig. Ist der Zugriff erfolgreich, lesen die Täter Punktestände und Adressdaten aus. Anschließend verkaufen sie die verifizierten Zugangsdaten oder nutzen die Punkte für Einkäufe und Auszahlungen.
Welche rechtlichen Pflichten zur Datensicherheit bestehen?
Unternehmen sind gesetzlich verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Gemäß Art. 32 DSGVO gilt es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört auch die Absicherung von Schnittstellen gegen bekannte Angriffsmuster wie Brute-Force oder Credential Stuffing.
Fehlt eine solche Absicherung, liegt unter Umständen ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO vor. Payback verweist zwar auf eine „hochmoderne Sicherheitsarchitektur“, doch die erfolgreichen Angriffe deuten auf Nachbesserungsbedarf hin.
Wie schützen Sie Ihr Payback-Konto effektiv?
Der effektivste Schutz gegen diese Art von Angriffen ist die Zwei-Faktor-Authentifizierung (2FA). Bei aktivierter 2FA ist für den Login neben dem Passwort ein zusätzlicher Code notwendig. Payback bietet diese Funktion an, schreibt sie jedoch – anders als beispielsweise REWE – nicht vor.
Folgende Maßnahmen erhöhen die Sicherheit sofort:
- 2FA aktivieren: Schalten Sie die Zwei-Faktor-Authentifizierung in den Kontoeinstellungen ein.
- Individuelle Passwörter: Nutzen Sie für jeden Dienst ein einzigartiges Passwort.
- Passwortmanager: Verwenden Sie Tools zur Verwaltung komplexer Zugangsdaten.
Fazit: Sicherheitslücke bei Payback
Die aktuelle Angriffswelle auf Payback verdeutlicht die Notwendigkeit robuster Sicherheitsvorkehrungen und der Zwei-Faktor-Authentifizierung. Wenn Sie Payback nutzen, sollten Sie umgehend die empfohlenen Maßnahmen ergreifen.
Sprechen Sie uns gerne an, bei Fragen zu Sicherheitslücke bei Payback: Sind Millionen Konten und Punkte in Gefahr?
Kemal Webersohn,
Geschäftsführer der WS Datenschutz GmbH und seit über zehn Jahren im Datenschutz und in der Informationssicherheit tätig.
Er schreibt außerdem auf unserem Blog zu Themen rund um Datenschutz, Informationssicherheit und die KI-Verordnung.
Weitere Artikel
- Passwörter nicht notieren: Passwortmanager erhöhen Sicherheit
- Strengere Regeln für Cybersicherheit (NIS 2) auf der Kippe
- Ist der Wächter-Modus von Tesla DSGVO-Konform?
- Der AI Act im Vergleich zu US-Regulierungen
- Kundendaten nicht ausreichend geschützt: Millionenbußgeld gegen 1&1
- Unterschied zwischen Widerruf und Widerspruch
Verwandte Artikel
- Zombie-Cookies: Wenn Daten trotz Löschung weitergetrackt werden
- Tracking-Apps: So überwachen Eltern die Standorte ihrer Kinder
- 325 Millionen Euro Bußgeld: CNIL sanktioniert Google wegen Gmail-Werbung
- Werbe-E-Mails ohne Einwilligung: EuGH erlaubt das jetzt teilweise
- Was sind Gesundheitsdaten gemäß Art. 4 Nr. 15 DSGVO?
- Was sind personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO?