Durch Apps und Bonuspunkte versuchen Supermärkte ihre Kundschaft an sich zu binden. Sie bieten Rabatte und Prämien, wenn man regelmäßig Produkte bei ihnen erwirbt und seine Daten für die Apps abgibt.
Für viele Konsument:innen ein guter Deal. Aber nun haben es Cyberkriminelle auf ebendiese Bonuspunkte abgesehen. Und zwar auf die der erst kürzlich gelaunchten Rewe-App.
Auf Reddit haben sich Mitte Februar die ersten Nutzer:innen darüber beschwert, dass ihnen die Rewe-Bonuspunkte abhanden kommen. Dabei geschieht folgendes: Ihre Konten wurden ohne ihre Zustimmung durch die Funktion "Gemeinsam sammeln" mit den Konten fremder Personen zusammengeführt.
Diese konnten sich dann das gesamte Guthaben auszahlen lassen und laut dem IT-Portal "heise online" beispielsweise zum Kauf von Paysafecards nutzen. Paysafecards seien schwer zurückverfolgbar und ließen sich auf dem Schwarzmarkt einfach zu Bargeld machen, heißt es in dem Bericht weiter.
Der Punkteklau geht innerhalb weniger Minuten über die Bühne, viele würden den Diebstahl erst merken, wenn es zu spät ist. Außerdem wurden die Punkte oft in Rewe-Märkten ausgezahlt, die sich nicht in der Nähe der beklauten Personen befanden. Auf die Berichte hin fing "heise online" an zu recherchieren. Innerhalb kürzester Zeit meldeten sich mehrere betroffene Personen.
"heise online" wollte herausfinden, wie dieses Vorgehen möglich ist: Datenklau, Sicherheitslücke bei Rewe, oder doch einfach Glück auf Seiten der Betrüger:innen?
Mögliche Sicherheitsprobleme seitens Rewe wurden auf Anfrage von "heise online" dementiert. Rewe-Sprecher Thmoas Bonrath sagte dazu:
Auch die Redaktion von "heise online" sieht die Option, dass Kriminelle auf bestimmten Wegen an Zugangsdaten gekommen sind, als relativ realistisch an.
Denn "heise online" wurde bei einer Suche nach den Daten der betroffenen Personen im Internet tatsächlich in sogenannten "Combolists" fündig. Diese Listen enthalten unzählige Datensätze an Zugangsdaten für alle möglichen Plattformen, Apps und Konten.
Abschließend geklärt werden konnte das Sicherheitsproblem jedoch nicht. Denn nicht alle betroffenen Personen standen in den "Combolists". Laut "heise online" gaben auch mehrere Betroffene an, sichere und einzigartige Passwörter für ihren Rewe-Bonus-Account verwendet zu haben, oder sich sogar per Zwei-Faktor-Authentifizierung angemeldet zu haben. Eine Malware-Infektion oder doch eine Sicherheitslücke bei Rewe lässt sich aufgrund dieser Analyse nicht ausschließen.
Betroffenen des Punkteklaus wird geraten, Strafanzeige zu erstatten. Außerdem ist es auch bei den vermeintlich simplen Apps von Supermärkten ratsam, immer komplexe Passwörter zu verwenden und diese auch nur einmal einzusetzen.
