Da sammelt man fleißig seine Bonuspunkte und plötzlich sind sie weg – wie kann das sein?Bild: imago images / onemorepicture
Geld & Shopping
20.02.2025, 09:4220.02.2025, 09:42
Durch Apps und Bonuspunkte versuchen Supermärkte ihre Kundschaft an sich zu binden. Sie bieten Rabatte und Prämien, wenn man regelmäßig Produkte bei ihnen erwirbt und seine Daten für die Apps abgibt.
Für viele Konsument:innen ein guter Deal. Aber nun haben es Cyberkriminelle auf ebendiese Bonuspunkte abgesehen. Und zwar auf die der erst kürzlich gelaunchten Rewe-App.
Rewe-App: "Gemeinsam sammeln"-Funktion wird zum Verhängnis
Auf Reddit haben sich Mitte Februar die ersten Nutzer:innen darüber beschwert, dass ihnen die Rewe-Bonuspunkte abhanden kommen. Dabei geschieht folgendes: Ihre Konten wurden ohne ihre Zustimmung durch die Funktion "Gemeinsam sammeln" mit den Konten fremder Personen zusammengeführt.
Diese konnten sich dann das gesamte Guthaben auszahlen lassen und laut dem IT-Portal "heise online" beispielsweise zum Kauf von Paysafecards nutzen. Paysafecards seien schwer zurückverfolgbar und ließen sich auf dem Schwarzmarkt einfach zu Bargeld machen, heißt es in dem Bericht weiter.
Der Punkteklau geht innerhalb weniger Minuten über die Bühne, viele würden den Diebstahl erst merken, wenn es zu spät ist. Außerdem wurden die Punkte oft in Rewe-Märkten ausgezahlt, die sich nicht in der Nähe der beklauten Personen befanden. Auf die Berichte hin fing "heise online" an zu recherchieren. Innerhalb kürzester Zeit meldeten sich mehrere betroffene Personen.
Punkteklau bei Rewe-App: Wo ist das Sicherheitsproblem?
"heise online" wollte herausfinden, wie dieses Vorgehen möglich ist: Datenklau, Sicherheitslücke bei Rewe, oder doch einfach Glück auf Seiten der Betrüger:innen?
Mögliche Sicherheitsprobleme seitens Rewe wurden auf Anfrage von "heise online" dementiert. Rewe-Sprecher Thmoas Bonrath sagte dazu:
"Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke bzw. Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im DarkWeb. Sobald sich die Ermittlungsbehörden mit einem Aktenzeichen bei uns melden, werden wir die Untersuchungen bestmöglich unterstützen."
Auch die Redaktion von "heise online" sieht die Option, dass Kriminelle auf bestimmten Wegen an Zugangsdaten gekommen sind, als relativ realistisch an.
Denn "heise online" wurde bei einer Suche nach den Daten der betroffenen Personen im Internet tatsächlich in sogenannten "Combolists" fündig. Diese Listen enthalten unzählige Datensätze an Zugangsdaten für alle möglichen Plattformen, Apps und Konten.
Abschließend geklärt werden konnte das Sicherheitsproblem jedoch nicht. Denn nicht alle betroffenen Personen standen in den "Combolists". Laut "heise online" gaben auch mehrere Betroffene an, sichere und einzigartige Passwörter für ihren Rewe-Bonus-Account verwendet zu haben, oder sich sogar per Zwei-Faktor-Authentifizierung angemeldet zu haben. Eine Malware-Infektion oder doch eine Sicherheitslücke bei Rewe lässt sich aufgrund dieser Analyse nicht ausschließen.
Betroffenen des Punkteklaus wird geraten, Strafanzeige zu erstatten. Außerdem ist es auch bei den vermeintlich simplen Apps von Supermärkten ratsam, immer komplexe Passwörter zu verwenden und diese auch nur einmal einzusetzen.
Narzissmus ist eines der meistdiskutierten Themen in der Beziehungspsychologie – und das zurecht. Ein narzisstischer Partner kann dir das Gefühl geben, auf Wolke sieben zu schweben, nur um dich im nächsten Moment ins emotionale Chaos zu stürzen.
Doch woran erkennst du, ob dein Gegenüber tatsächlich narzisstische Züge hat?
