Dreister Cyber-Angriff: Bonuspunkte-Plünderer hacken Konten von Rewe-Kunden

Aufgepasst beim Supermarkt-Einkauf: Rewe-Bonus-Kunden meldeten vor kurzem, dass ihr Guthaben offenbar ohne ihre Zustimmung genutzt wurde. Dabei handelt es sich scheinbar um Kriminelle, die eine Sicherheitslücke ausnutzen.

Von news.de-Redakteur - Uhr

Nutzer beklagen sich über eine Sicherheitslücke - Rewe will davon nichts wissen. (Foto) Suche
Nutzer beklagen sich über eine Sicherheitslücke - Rewe will davon nichts wissen. Bild: picture alliance/dpa | Karl-Josef Hildenbrand
  • Rewe-App ermöglicht Sammeln von Bonuspunkten
  • Die Bonuspunkte werden als Geld-Coupons gesammelt
  • Betrüger haben von Kundenkonten das Geld gestohlen

Seit kurzem können Kunden beim Einkauf bestimmter Artikel in Rewe-Filialen mit einer App auch einen Bonus in Euro erwerben. Beim Kauf mancher Artikel werden 20 Cent gutgeschrieben, bei anderen sogar Beträge über einem Euro. Die Artikel, für die es die Boni gibt, wechseln. Beim Shoppen kann das gesammelte Guthaben dann eingelöst werden. Doch offenbar machen sich Betrüger nun eine Funktion der App zunutze, um Kunden ihr hart erspartes Guthaben zu stehlen.

Lesen Sie auch:

Betrüger stehlen Guthaben von Rewe-Kunden

Das Problem wurde zunächst auf mehreren Internetforen beklagt, darunter auch "Reddit". "Habe vor 2 Stunden eine Email vom Kundenservice bekommen, dass man mir Freundlicherweise aus "Kulanz" einmalig das Guthaben erstattet, weil ein unbefugter Zugriff stattgefunden hat, und ich soll mein Passwort ändern", schreibt ein App-User, der durch den Betrug 20 Euro verloren hat, in seinem Beitrag. Über die Wortwahl des Unternehmens freut er sich dabei offensichtlich auch nicht: "Was bedeutet hier denn Kulanz? [...] Am meisten regt mich einfach auf, dass Rewe jetzt so tut als wäre die Schuld bei mir." Unseren Recherchen nach hatte jedoch nicht jeder Betroffene Glück - viele haben ihr Geld nicht zurückbekommen.

Der User weist darauf hin, dass es in der App eine erhebliche Sicherheitslücke zu geben scheint. Laut ihm soll der Account auch mit einer Zwei-Faktor-Autorisierung gesichert gewesen sein - diese soll den Zugriff durch Fremde in der Regel erschweren, scheint aber umgangen worden zu sein. Auf Anfrage von "Heise.de" dementierte das Unternehmen die Gerüchte um eine angebliche Sicherheitslücke allerdings. "Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke bzw. Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im DarkWeb", so der Rewe-Sprecher Thomas Bonrath gegenüber heise Security.

War es eine Sicherheitslücke oder Eigenverschulden?

Laut Rewe soll es sich also um "Phishing", eine weitverbreitete Datenklau-Methode per E-Mail, handeln. Wie Sie sich vor diesen Taktiken schützen können und herausfinden können, ob Ihre E-Mail-Adresse Betrügern bereits bekannt ist, können Sie in unserem Artikel "Mit diesen Tipps sind Sie sicher im Netz unterwegs" nachlesen. Betroffene sollen sich schnellstmöglich beim Rewe-Support melden. Allen, die es noch nicht erwischt hat, rät Rewe dazu, ihr Passwort zu ändern. Wer um sein Erspartes auf dem Rewe-Konto gebracht wurde, hat zudem die Möglichkeit, bei seiner Versicherung nachzufragen. In einigen Fällen übernehmen Hausratversicherungen auch Schäden durch Cyberkriminalität. Gefährlich ist allerdings, dass bestimmte Daten wie die Wohnadresse und der volle Name ebenfalls im Konto einsehbar sind. Cyberkriminelle können diese Daten später für plausible Phishing-Angriffe verwenden, um Opfer noch besser zu täuschen.

Nutzer sollten auf der Hut bleiben

Die Angriffe haben trotz aller Hilfsbereitschaft von Rewe dennoch einen unguten Nachgeschmack. Glaubt man den betroffenen Usern, die im Internet ihrem Ärger Luft machen, so hat nie ein Phishing-Versuch stattgefunden. Fand nun doch ein Angriff durch eine auch Rewe bisher unbekannte Hintertür statt? Oder handelt es sich um Malware auf den Geräten der Kunden, die es den Kriminellen ermöglichte, die Konten zu leeren? Die Umstände bleiben vorerst schleierhaft. Es ist jedoch durchaus möglich, dass bereits Listen mit E-Mail-Adressen und Passwörtern der Kunden im Internet kursieren. In jedem Fall sollten Kunden zunächst vorsichtig mit der App sein und sie, bis der Fall geklärt ist, zunächst besser nicht nutzen.

Folgen Sie News.de schon bei WhatsApp, Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.

/bos/news.de

Themen:

Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.

Bleiben Sie dran!

Wollen Sie wissen, wie das Thema weitergeht? Wir informieren Sie gerne.

Folgen Sie News.de

© 2025 MM New Media GmbH