Anzeige
Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.
Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.
Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.
Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.
Das Vorgehen der Kriminellen, die fast ausnahmslos die Funktion zum gemeinsamen Punkte-Sammeln ausnutzen, machte uns neugierig. Wie unsere Hinweisgeber vermuteten auch wir, es könne eine Sicherheitslücke in der Rewe-App oder ein Datenleck bei der Handelskette vorliegen.
Insbesondere der Mechanismus zur Einladung eines Sammelpartners machte uns neugierig. Gibt ein Rewe-Bonus-Mitglied die E-Mail-Adresse des Wunschpartners in der App oder auf der Website ein und betätigt den Einladungsknopf, generiert das Rewe-System eine eindeutige Kennung (UUID) für den Einladungsvorgang und sendet dem Eingeladenen einen Einladungslink mit dieser UUID zu. Doch ein simpler Klick auf den Link genügt nicht. Unseren Versuchen zufolge muss der Eingeladene eingeloggt sein und die Einladung mit nicht weniger als drei Klicks in der App bestätigen.
Bild 1 von 5
Schritt 1: Wunschpartner in der App einladen
Zunächst lädt ein Rewe-Bonus-Mitglied seinen Wunschpartner über die App ein. (Bild:heise security / cku
)Eine versehentliche Betätigung des Einladungslinks durch einen E-Mail-Scanner oder ähnliche Mechanismen schied also aus. Ärgerlich: Die Rewe-Systeme teilen dem Einladenden mit, ob sein Wunschpartner am Bonusprogramm teilnimmt – so lassen sich nicht nur E-Mail-Adressen verifizieren, sondern auch deren Teilnahme am Bonusprogramm.
Doch auch unsere Versuche, die dem Einladungssystem zugrunde liegenden API-Aufrufe (für Nerds: Ein RESTful API mit korrekter Nutzung der Verben GET, POST, PUT, DELETE, vorbildlich!) zu überlisten, schlugen fehl: Ohne Anmeldung geht anscheinend nichts. Da wir für einen Pentest der Rewe-App weder beauftragt noch kompetent genug sind, fragten wir die Pressestelle des Konzerns, was es mit dem Punktediebstahl auf sich hat.
Die Rewe-Presseabteilung dementiert ein Datenleck oder eine Sicherheitslücke in klaren Worten: "Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke bzw. Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im DarkWeb", erläutert Rewe-Sprecher Thomas Bonrath gegenüber heise Security. Opfer des Punkteklaus sollten Strafanzeige erstatten. "Sobald sich die Ermittlungsbehörden mit einem Aktenzeichen bei uns melden, werden wir die Untersuchungen bestmöglich unterstützen", verspricht Bonrath.
Man helfe Betroffenen zudem gerne, ihr Konto gegen unbefugte Zugriffe abzusichern, indem man ihr Passwort zurücksetze – auch könnten Nutzer die Zwei-Faktor-Authentifizierung für App und Website nutzen, so der Rewe-Sprecher weiter. Tatsächlich hatten mehrere Opfer Kontakt mit dem Rewe-Kundendienst aufgenommen, dem die Masche bereits bekannt war. Einige berichteten uns, man habe ihnen das geklaute Guthaben aus Kulanz erstattet, andere hatten weniger Glück.
Also fand offenbar kein Einbruch in die Rewe-Server statt, sondern in die Konten der betroffenen Nutzer. Die Cyberdiebe meldeten sich mit deren Zugangsdaten an und luden sich dann im Namen der Opfer zum Punktesammeln ein. Bei dieser Gelegenheit konnten die Angreifer auch Adress- oder Einkaufsdaten einsehen und kopieren, die sie später für plausible Phishing-Angriffe verwenden können.
Tatsächlich ist die Erklärung, Kriminelle hätten Zugangsdaten schlicht durchprobiert oder anderweitig erbeutet, ebenso naheliegend wie realistisch. Im Glauben, der Zugang zu einer Bonus-App sei nicht so wertvoll wie etwa die Anmeldedaten fürs Online-Shopping, vergeben Anwender oft schwache Passwörter oder nutzen diese mehrfach. Zudem erklärte uns eine Betroffene, sie müsse sich in ihrem Rewe-Markt häufig neu in die App einloggen. Ein langes, komplexes Passwort sei auf der Smartphone-Tastatur umständlich einzugeben.
Dabei sind gut gewählte und nur für einen Dienst genutzte Passwörter der beste Schutz gegen Phishing und Identitätsdiebstahl, wie das Rewe-Beispiel zeigt. Nutzer sollten nicht davon ausgehen, dass ihr Punkteguthaben uninteressant sei – auch Kleinbeträge sind für Cyberkriminelle attraktiv. Diese betreiben ihr Geschäft schließlich in industrialisiertem Maßstab, tauschen und verkaufen untereinander Zugangsdaten und nutzen jede Möglichkeit, diese zu Geld zu machen.
Wer Supermarkt-Apps nutzt, sollte also auch hier die wichtigsten Grundregeln beachten:
Lange, ausreichend komplexe Passwörter verwendenKennwörter nicht mehrfach einsetzenEinen Passwort-Safe nutzen, der auch als App verfügbar ist (wie etwa Bitwarden)Wenn möglich, Zwei-Faktor-Authentifizierung oder Passkeys aktivierenSo sinkt die Phishing-Gefahr und auch Datenlecks verlieren viel ihres Schreckens. Die eigenen Passwörter regelmäßig ohne konkreten Anlass zu ändern, ist hingegen wenig empfehlenswert, wie heise security anlässlich des Ändere-dein-Passwort-Tags immer wieder erläutert.
Wer im Darknet und einschlägigen Chaträumen nach geklauten Zugangsdaten stöbert, wird schnell fündig und stößt auf sogenannte "Combolists". Diese Listen, meist schlichte Textdateien, enthalten Zugangsdaten in der Form Benutzername:Passwort. Die Daten stammen oft aus Infektionen mit Infostealer-Malware – also spezialisierten Schadprogrammen, die Kennungen aus Browsern und Passwort-Safes klauen. Auch bei Datenlecks und Cyberangriffen sammeln die Kriminellen Zugangsdaten ein, die sie in Combolists miteinander tauschen.
Bei mehreren der Rewe-Opfer wurden wir in derlei Combolists fündig, andere fanden ihr Passwort zur Rewe-App beim Dienst "Have I been pwned" des Australiers Troy Hunt. Die wahrscheinlichste Erklärung für den Punkteklau ist also, dass unbekannte Kriminelle massenhaft Zugangsdaten durchprobieren, bis sie bei Rewe-Kunden fündig werden.
Ein ungutes Bauchgefühl bleibt jedoch – sowohl bei den Betroffenen als auch beim sicherheitsinteressierten Redakteur. Denn mehrere Opfer versicherten uns, sichere, nur in der Rewe-App verwendete Passwörter oder gar das von Rewe eingesetzte System zur Zwei-Faktor-Authentifizierung eingesetzt zu haben. Ob die Kriminellen hier eine Hintertür in der Rewe-App fanden oder doch eine – möglicherweise unentdeckte – Malware-Infektion dahintersteckt, bleibt vorerst ungeklärt. Zudem ist schleierhaft, wie die Kriminellen an den durch die Rewe-Entwickler eingebauten Sperren gegen das Durchprobieren von Zugangsdaten vorbeikamen. Nutzen sie doch eine Sicherheitslücke im Rewe-System aus oder verwenden sie VPNs, Botnets oder Residential Proxies?
Sind Sie auch vom Punkteklau bei Rewe betroffen? Schreiben Sie mir eine E-Mail unter cku (at) heise.de!Übrigens: Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.https://heise.de/investigativ
Kommentare