Heute soll es mal um ein ernsteres Thema gehen: Diebstahl. Zum Glück kam ich bisher nur in dem folgenden Fall mit diesem Thema in Berührung (*auf Holz klopf*). Da dm ein Partner des Bonusprogramms PAYBACK ist, ist meine Story für den ein oder anderen Sparfuchs unter Euch sicherlich interessant.
Was ist PAYBACK und wie funktioniert es?
Ich gehe mal davon aus, dass die meisten das Bonusprogramm kennen, nutzen oder schon mal davon gehört haben. Daher möchte ich nur ganz kurz auf das Programm selbst eingehen. Bei PAYPACK dreht sich alles um die PAYBACK Punkte, wenn man seine Karte bei teilnehmenden Händlern vorzeigt, erhält man je nach Warenwert eine bestimmte Anzahl an Punkten. Mit diesen kann man Prämien kaufen oder Gutscheine für Online-Shops. Man kann aber nicht nur offline Punkte sammeln, machen Online-Shops sind auch PAYBACK-Partner. Pro zwei Euro Umsatz enthält man bei den meisten Händlern einen PAYBACK Punkt.
Meine PAYBACK Punkte wurden von einer fremden Person eingelöst
Ich bin damals auf das Bonusprogramm gestoßen, da dm regelmäßig PAYBACK Aktionen startet. Ich nutze meine Karte eigentlich immer nur, wenn es Coupons gibt und man bei einem Kauf somit mehr PAYBACK Punkte als üblich erhält. Nach einem Jahr sammeln hat sich ein kleines Sümmchen an Punkten zusammengehäuft: 4285 Punkte, dies entspricht etwa 42 Euro, wenn man sich das ganze auszahlen lässt.
Doch vor ein paar Tagen wurden meine Punkte von einer unbekannten Person eingelöst, um zwei Gutscheine für REWE zu genieren. Wenn man dann seine PAYBACK Karte an der Kasse vorzeigt, kann man die Gutscheine einlösen. Eine Stunde später wurden diese dann in einer Münchener Filiale (6,5 Std. von mir entfernt) getan – und das ganz ohne meine Karte zu haben. Wie das funktioniert, weiß ich leider nicht und PAYBACK interessiert es offensichtlich auch nicht.
Einen Tag zuvor hatte ich übrigens meine Kundennummer bei Flaconi angegeben, da man dort 11-fach Punkte bekommen hat. Dies war die erste Nutzung seit zwei Monaten. Ob hier ein Zusammenhang besteht, weiß ich nicht. Auffällig ist es aber auf jeden Fall.
Leider sind die E-Mails mit den Benachrichtigungen über das Punkteeinlösen in meinem Spam-Ordner gelandet, sonst wäre ich womöglich schnell zu Rewe gefahren und hätte mit den Gutscheinen bezahlt.
Doch wie bekam diese Person Zugriff auf mein PAYBACK-Konto? Ich habe nie irgendwelche seltsamen E-Mails von PAYBACK geöffnet, sodass ich das Öffnen einer sogenannten Phishing-Mail ausschließen kann. Auch die PAYBACK-App nutze ich nicht und mein PC ist sicher.
Das „Sicherheitssystem“ von PAYBACK
Ja, ich habe es bewusst in Anführungszeichen geschrieben, da es in meinen Augen alles andere als sicher ist. Warum ich der Meinung bin, erfahrt ihr nun.
Bis zu dem Tag, an dem mein komplettes PAYBACK Punkte Konto leergeräumt wurde, habe ich mich mit dem Thema Sicherheit bei PAYBACK nie beschäftigt. Ich habe noch nie online einen Gutschein mit Punkten eingelöst, sondern immer direkt an der Kasse mit den Punkten bezahlt. Dm hat nämlich Einlöseaktionen, bei denen man 10% der eingelösten Punkte zurückbekommt. Das lohnt sich natürlich mehr als das direkte Auszahlen. Daher wusste ich bis dato auch nicht, wie einfach es für Dritte ist, sich ins Kundenkonto einzuloggen und Gutscheine zu generieren. Man braucht nichtmals das Passwort des Kontoinhabers – die Postleitzahl, das Geburtsdatum und eben die PAYBACK-Nummer reichen vollkommen um sich anzumelden. Das ist mir bisher nie aufgefallen, da ich mich immer mit Passwort eingeloggt habe. So bringt natürlich das sicherste Passwort nichts.
PAYBACK sieht sich übrigens selbst als sicher an und Sicherheitslücken in ihrem System sind ausgeschlossen. Eine Zwei-Faktor-Authentifizierung oder eine Abfragen eines PINS/Passwortes, wenn man Gutscheine mit Punkten kauft, scheint nicht wichtig zu sein. Dies macht mich natürlich sehr wütend, denn leider werden immer mehr Datensätze von Kunden im Internet veröffentlicht und so kann man eben schnell an persönliche Daten wie Geburtsdatum sowie die Postleitzahl kommen. Ob eure Daten öffentlich sind, könnt Ihr mit dem HPI Check herausfinden. Auch in den Briefen, die man regelmäßig von PAYBACK zugeschickt bekommt, stehen die PAYBACK-Nummer sowie die Anschrift.
PAYBACK Punkte-Klau: Ich bin nicht alleine
Man darf nicht außer Acht lassen, dass in den letzten beiden Monaten bei unzähligen Nutzern Punkte von Dritten eingelöst und dann ausgegeben wurden. Ich gehe mal nicht davon aus, dass alle ein unsicheres Passwort oder ominöse E-Mails geöffnet haben. Außerdem werden wohl noch viel mehr Leute betroffen sein, die es entweder noch gar nicht wissen oder es nicht öffentlich gemacht haben.
Wenn Ihr ein Kundenkonto habt, schaut am besten direkt nach, ob auch Ihr betroffen seid. Und falls eure Punkte noch da sind, würde ich empfehlen, sie direkt auszahlen zu lassen, denn ich gehe davon aus, dass der Diebstahl noch nicht vorbei ist.
Die Verbraucherzentrale NRW hat heute übrigens auch einen Artikel veröffentlicht, der über den Punkteklau berichtet.
Mein Fazit zum PAYBACK Punkte-Klau
Ich werde eine Anzeige erstatten und habe auch den Kundensupport von PAYBACK informiert – viel mehr als mein Konto zu sperren, können sie aber nicht machen. Hier ist es anders als bei einer Bank, ein Anspruch auf Rückzahlung besteht nicht. Aus Kulanz werden sie einem die Punkte ebenfalls nicht zurückgeben. Wie es möglich ist, ohne PAYBACK-Karte mit Gutscheinen an der Kasse bezahlen zu können, ist für mich unverständlich und macht das ganze System noch viel unsicherer. Möglicherweise kann man sich mit der PAYBACK-Nummer dem Geburtsdatum und Postleitzahl in der App einloggen und so mit der mobilen Karte bezahlen. Ich denke in letzter Konsequenz werde ich mein Konto löschen lassen, denn mühsam Punkte zu sammeln, damit ein anderer sie ausgibt, sehe ich nicht ein.
0 Kommentare