Hacker gelangen an Millionen Payback-Konten
Hacker gelangen an Millionen Payback-Konten, doch diese Funktion hilft
27.12.2025 - 11:32 Uhr
Laut einem Bericht haben sich Hacker unerlaubten Zugriff auf Millionen von Payback-Konten verschafft. Eine Funktion reicht jedoch aus, Dein Konto zu schützen.
Laut einem Bericht von STRG_F haben sich Hacker Zugang zu Konten von Payback-Nutzern verschafft. Millionen Konten seien betroffen, berichtet das Reportage-Magazin des NDR. Durch den Hack gelangen die Kriminellen an private Daten und konnten sogar Bonuspunkte stehlen. Möglich wurde der Hack durch eine Sicherheitslücke in der Payback-App. Allerdings sollen Kunden, welche die Zwei-Faktor-Authentifizierung aktiviert haben, von dem Hack nicht betroffen sein. Hast Du ebenfalls ein Payback-Konto, diese Funktion jedoch nicht aktiviert, dann solltest Du das so schnell wie möglich ändern.
Wie Hacker an die Payback-Konten gelangten
Laut der Reportage handelt es sich nicht um einen klassischen Hack, bei dem die Angreifer eine Schwachstelle im Payback-System ausgenutzt hatten. Stattdessen kauften sie im Darknet Zugangsinformationen, bestehend aus E-Mail-Adressen und Passwörtern. Diese wurden mit der Zeit von Cyberkriminellen gesammelt und anschließend von den Hackern gekauft. In erster Linie sind es ältere Datensammlungen (Leaks), die auf verschiedene Weise in den Umlauf gerieten und für den Hack genutzt wurden.
Dabei kauften die Hacker nicht die E-Mail-Adresse zusammen mit dem dazugehörigen Passwort. Stattdessen kauften sie E-Mails und Passwörter zuhauf und probierten dann einfach aus, welche zusammengehören. Mit ausreichend Zeit (und mithilfe von Automatisierung) gingen sie jede mögliche Kombination durch und verschafften sich somit Zugang zu Millionen von Konten.
Das CAPTCHA-Verfahren soll eigentlich gegen solche Automatisierungen helfen. Sobald mehrere Fehlversuche bei der Anmeldung registriert werden, aktiviert sich die CAPTCHA-Funktion und überprüft, ob es sich beim Anmelder um einen Roboter handelt. Diese Funktion hat Payback in seine Dienste integriert, allerdings ist CAPTCHA nicht auf allen iPhone-Apps aktiviert. Daher hatten die Hacker es vor allem auf iPhone-Nutzer abgesehen. Hier gingen sie dann die unterschiedlichen Kombinationen aus E-Mail-Adresse und Passwort durch, bis eine schließlich klappte. Innerhalb weniger Minuten können sie so zehntausende Anmeldeversuche simulieren.
Der dadurch entstandene Schaden beläuft sich zumeist auf gestohlene Nutzerdaten. Diese gelangen dann wieder ins Darknet und werden hier weiterverkauft. Der größte monetäre Schaden entsteht durch das Stehlen der Bonuspunkte. Die Hacker lassen sich die Paypack-Punkte auszahlen oder nutzen sie bei Käufen. Laut der Reportage von STRG_F ist sich Payback der Gefahr sehr bewusst, weshalb Datenschutz und Datensicherheit „oberste Priorität“ genießen. Bei dieser Aussage beließ es das deutsche Unternehmen.
2FA einfach aktivieren
Die Zwei-Faktor-Authentifizierung (kurz: 2FA) solltest Du, wenn möglich, immer aktivieren. Somit schützt Du Deine persönlichen Daten und Dein Guthaben vor dem Zugriff von außen. Payback stellt dafür eine Anleitung zur Verfügung.
