Cyberangriffe auf Payback-Konten ohne 2FA möglich

Payback-Konten von Millionen Nutzern sind durch eine simple Sicherheitslücke angreifbar.

„STRG_F“ berichtet von einer Schwachstelle im Payback-System, die Cyberkriminelle ausnutzen, um Kundendaten und Bonuspunkte zu stehlen. Potenziell betroffen sind Millionen Konten ohne Zwei-Faktor-Authentifizierung. Die Recherchen zeigen, dass Angreifer Login-Daten aus externen Datenlecks millionenfach testen.

Angreifer nutzen Combolisten aus Hacking-Foren mit E-Mail-Adressen und Passwörtern. Viele Nutzer verwenden dieselben Passwörter bei mehreren Diensten, was den Missbrauch erleichtert. Laut STRG_F lassen sich zehntausende Accounts in wenigen Minuten testen.

Sicherheitslücke in iPhone-App ausgenutzt

Auf der Payback-Website blockt ein CAPTCHA häufige Fehlversuche ab. Bei der iPhone-App fehlt dieser Schutz jedoch weitgehend. Angreifer simulieren also einfach iPhone-Zugriffe, um die Bots ohne Unterbrechung laufen zu lassen.

Angriffsmechanismus im Überblick:

• Erfolgreiche Logins extrahieren Punkte und personenbezogene Daten wie Adressen.
• Geklaute Zugangsdaten werden in Foren verkauft.
• Käufer lösen Punkte in Geld oder Gratis-Einkäufe um.
• Accounts mit Zwei-Faktor-Authentifizierung bleiben sicher.

Laut einer Sprecherin hat die Datensicherheit bei Payback höchste Priorität. Das Unternehmen rät zur Zwei-Faktor-Authentifizierung. Eine detaillierte Stellungnahme zu den STRG_F-Recherchen liegt jedoch nicht vor.

Ich rate Payback-Nutzern jedoch immer, die Zwei-Faktor-Authentifizierung zu aktivieren und einzigartige Passwörter zu verwenden. Das gilt aber selbstverständlich für jeden Online-Dienst.

ING App: Vorgemerkte Umsätze und temporäre Karten-Sperre

Die ING Deutschland hat die App-Version 8.47.3 für iOS mit neuen Funktionen veröffentlicht. Die ING App in Version 8.47.3 berücksichtigt…

3. Dezember 2025 | Jetzt lesen →