exklusiv
Cyberkriminelle nutzen aktuell offenbar eine Schwachstelle im Sicherheitskonzept von Payback aus, um Kundendaten und Bonuspunkte zu stehlen. Dies zeigen Recherchen von STRG_F (NDR/funk). Potenziell betroffen sind Millionen Konten.
Wer Payback nutzt und keine Zwei-Faktor-Authentifizierung eingestellt hat, muss derzeit um seine gesammelten Bonuspunkte und seine personenbezogenen Daten fürchten: Cyberkriminelle sind in der Lage, Sicherheitssysteme bei Payback zu umgehen, um Konten zu plündern. Dazu testen die Angreifer millionenfach, ob sie sich mit E-Mail-Adressen und zugehörigen Passwörtern bei Payback einloggen können.
Die geklauten Login-Daten stammen nicht von Payback selbst, sondern aus Datenleaks mit teils mehreren Millionen Accountdaten. Weil viele Menschen für verschiedene Dienste dasselbe Passwort nutzen, versuchen die Kriminellen, sich damit bei Payback einzuwählen. Payback will diese Angriffe eigentlich verhindern und spricht selbst von einer “hochmodernen Sicherheitsarchitektur”. Diese hat aber offensichtlich eine Lücke, die gezielt ausgenutzt wird.
Angreifer simulieren Zugriff über die iPhone-App
Payback schützt sich auf seiner Website bereits gegen solche Angriffe. Wird zu häufig ein falsches Passwort eingetippt, erscheint ein sogenanntes CAPTCHA. Mit diesem Bilderrätsel, bei dem beispielsweise auf Bilder mit Hydranten, Treppen oder Bussen geklickt werden muss, will Payback verhindern, dass Bots automatisiert Accounts testen.
Für Zugriffe über die iPhone-App scheint dieser Sicherheitsmechanismus nicht in vergleichbarer Weise zu gelten – und dies machen sich die Kriminellen zunutze. Sie simulieren beim Login, dass sie von einem iPhone aus auf Payback zugreifen wollen und stoßen nur selten auf ein Bilderrätsel, an dem ihre Bots scheitern würden.
Reporter von STRG_F konnten nachvollziehen, dass sich mit diesem simplen Trick zehntausende Accounts in wenigen Minuten testen ließen, ohne dass die Sicherheitssysteme von Payback dies als Angriff erkannten.
Hacking-Programm liest Personendaten aus
Ist ein Login erfolgreich, ermittelt das Hacking-Programm automatisiert die Zahl der Payback-Punkte, die die Person gesammelt hat. Auch personenbezogene Daten wie die Anschrift werden ausgelesen. Die Kriminellen verkaufen diese Infos dann offenbar als Payback-Zugangsdaten weiter. Die Käufer plündern schließlich die Bonuspunkte, um sich Geld auszahlen zu lassen oder umsonst bei Payback-Partnerunternehmen einzukaufen.
Die Rohdaten, also die großen Datensätze mit E-Mail-Adressen und Passwörtern, sogenannte Combolisten, erhalten die Kriminellen wiederum in einschlägigen Hacking-Foren. Die STRG_F-Reporter fanden in einem Forum kostenlos die Zugangsdaten mehrerer Millionen deutscher Internetnutzer. Diese Daten stammen mutmaßlich aus verschiedenen Quellen, beispielsweise aus Datenlecks bei Unternehmen oder von Phishing-Angriffen, bei denen Personen ihre Zugangsdaten versehentlich auf fingierten Websites eingegeben haben.
Payback: Datensicherheit habe “höchste Priorität”
STRG_F hat Payback in einer Anfrage auf das Problem hingewiesen, aber keine konkrete Antwort dazu erhalten. Eine Sprecherin teilte grundsätzlich mit: “Datenschutz und Datensicherheit haben bei Payback oberste Priorität.”
Payback setze eine hochmoderne Sicherheitsarchitektur ein, die Punktekonten vor Missbrauch schütze und verdächtige Unregelmäßigkeiten melde. Außerdem rate man Kunden, immer eine sogenannte Zwei-Faktor-Authentifizierung einzuschalten.
Accounts mit Zwei-Faktor-Authentifizierung nicht betroffen
Tatsächlich scheint der Angriff bei Payback nur bei Accounts zu funktionieren, die nicht mit einer sogenannten Zwei-Faktor-Authentifizierung geschützt sind. Ist diese aktiviert, müssen Personen für ein Login neben dem Passwort eine zweite Prüfung durchlaufen, beispielsweise einen Code eintippen, der ihnen per SMS zugesendet wurde.
Allerdings ist diese für Payback-Kunden nicht verpflichtend. Dadurch wird der Angriff für Cyberkriminelle erst attraktiv.
Der Lebensmittelhändler REWE verpflichtet seit Ende August seine Kunden, die am Rewe-Bonusprogramm teilnehmen, zur Zwei-Faktor-Authentifizierung. Auch bei REWE waren eine Zeit lang massenhaft Accounts geplündert worden.
