Kriminelle stehlen Guthaben aus neuer Rewe-Bonus-App - das können Betroffene tun

Nürnberg - Eigentlich sollte mit dem neuen Bonusprogramm von Rewe alles besser werden. Doch nun berichten zahlreiche Nutzer von gestohlenem Guthaben. Was dahinter steckt und wie Sie sich schützen können, lesen Sie hier.

Wer immer wieder im gleichen Supermarkt einkauft, soll für seine Treue belohnt werden. Das ist der Hintergedanke zahlreicher Bonusprogramme wie der Deutschlandcard oder Payback. Zu Payback gehörten neben zahlreichen bekannten Marken wie "Sky", "Aral" oder "dm" auch die Rewe-Supermärkte. Doch zum Jahresende 2024 stieg der Einzelhandels-Gigant nach zehn Jahren aus dem Payback-Programm aus.

Stattdessen brachte Rewe mit dem "Rewe Bonus" sein eigenes Treueprogramm auf den Weg, samt eigener App. Genau wie bei Payback sammeln Kunden für getätigte Einkäufe Bonusguthaben und können dieses später mit ihren Einkäufen verrechnen lassen.

Reddit-Nutzer berichten von "gestohlenem" Guthaben

Seit dem 29. Dezember läuft das Bonus-Programm, das mit einer praktischen Neuerung für Paare und WGs um die Ecke kommt. Zwei Nutzer können ihre Konten miteinander verknüpfen und so gemeinsam Punkte sammeln und einlösen. Beide Parteien haben gleichermaßen Zugriff auf das gesamte Guthaben. Eigentlich eine sinnvolle Funktion, doch seit Mitte Februar häufen sich in dem sozialen Netzwerk "Reddit" die Beschwerden.

Zahlreiche Nutzer und Rewe-Kunden berichten von ähnlichen Vorkommnissen: Sie erhalten eine Mail, dass sie nun gemeinsam mit einem anderen Nutzer Punkte sammeln, obwohl sie das nicht selbst eingerichtet oder gar bestätigt haben. Wenig später wird das vorhandene Guthaben in einer Filiale eingelöst, meist für Guthabenkarten wie beispielsweise "paysafecard". Diese können zur Bezahlung im Internet genutzt werden und sind nicht zurückverfolgbar. Häufig passiert das innerhalb weniger Minuten und in Supermärkten, die weit von den Nutzern entfernt sind.

Rewe dementiert eine Sicherheitslücke

Wie der "Spiegel" und "Heise Security" berichten, liegen beiden Redaktionen mehrere solcher Berichte vor. Rewe selbst dementiert auf Anfrage der Redaktionen ein Datenleck oder eine Sicherheitslücke im System. Stattdessen geht die Supermarkt-Kette davon aus, dass die Daten über Datensammlungen im Darknet oder über Phishing-Methoden an die Betrüger gelangt sind. User, die ähnliche Erfahrungen machen, sollten Strafanzeige erstatten. Außerdem helfe der Kundenservice Nutzern bei der Absicherung ihres Kontos gegen unbefugte Zugriffe.

Tatsächlich berichten einige Reddit-User davon, dass ihnen der Kundenservice "aus Kulanz" das entwendete Guthaben erstattet habe, anderen wurde ein solches Angebot hingegen nicht gemacht. Die Recherche von "Heise" und "Spiegel" ergab darüber hinaus, dass Daten von einigen der betroffenen Nutzer in sogenannten "Combolists" im Darknet zu finden waren. Diese Listen enthalten gestohlene Zugangsdaten wie E-Mail-Adressen beziehungsweise Benutzernamen und Passwörter. Das macht es den Redaktionen zufolge wahrscheinlich, dass die Kriminellen Zugangsdaten so lange ausprobieren, bis sie die richtige Kombination erhalten.

So schützen sie sich

Ausschließen lässt sich eine interne Sicherheitslücke nicht, obschon mehrere Betroffene berichten, die sichere Zwei-Faktor-Authentifizierung zu nutzen. Die größtmögliche Sicherheit erlangen Nutzer, indem sie sich für ein komplexes Passwort entscheiden. Das Bundesamt für Sicherheit und Informationstechnik empfiehlt Passwörter, die mindestens acht Zeichen lang sind und aus vier verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) bestehen.

Außerdem empfiehlt sich in der Rewe-App die Zwei-Faktor-Authentifizierung zu nutzen. Dabei wird für einen Login neben eines Passworts eine weitere Sicherheitsprüfung verlangt, etwa eine Bestätigung über ein zweites Gerät oder eine Mailadresse.