Payback-Konten von Millionen Nutzern sind durch eine simple Sicherheitslücke angreifbar.
„STRG_F“ berichtet von einer Schwachstelle im Payback-System, die Cyberkriminelle ausnutzen, um Kundendaten und Bonuspunkte zu stehlen. Potenziell betroffen sind Millionen Konten ohne Zwei-Faktor-Authentifizierung. Die Recherchen zeigen, dass Angreifer Login-Daten aus externen Datenlecks millionenfach testen.
Angreifer nutzen Combolisten aus Hacking-Foren mit E-Mail-Adressen und Passwörtern. Viele Nutzer verwenden dieselben Passwörter bei mehreren Diensten, was den Missbrauch erleichtert. Laut STRG_F lassen sich zehntausende Accounts in wenigen Minuten testen.
Sicherheitslücke in iPhone-App ausgenutzt
Auf der Payback-Website blockt ein CAPTCHA häufige Fehlversuche ab. Bei der iPhone-App fehlt dieser Schutz jedoch weitgehend. Angreifer simulieren also einfach iPhone-Zugriffe, um die Bots ohne Unterbrechung laufen zu lassen.
Angriffsmechanismus im Überblick:
- Erfolgreiche Logins extrahieren Punkte und personenbezogene Daten wie Adressen.
- Geklaute Zugangsdaten werden in Foren verkauft.
- Käufer lösen Punkte in Geld oder Gratis-Einkäufe um.
- Accounts mit Zwei-Faktor-Authentifizierung bleiben sicher.
Laut einer Sprecherin hat die Datensicherheit bei Payback höchste Priorität. Das Unternehmen rät zur Zwei-Faktor-Authentifizierung. Eine detaillierte Stellungnahme zu den STRG_F-Recherchen liegt jedoch nicht vor.
Ich rate Payback-Nutzern jedoch immer, die Zwei-Faktor-Authentifizierung zu aktivieren und einzigartige Passwörter zu verwenden. Das gilt aber selbstverständlich für jeden Online-Dienst.
Jetzt mobiFlip kostenlos auf WhatsApp folgen und informiert bleiben!