Das gibt bei Migros-Kunden zu reden. Denn der Grossverteiler forcierte in letzter Zeit beim Sammelprogramm Cumulus die Umstellung von Papier-Wertscheinen auf digitale Bons.
Im Kanton Freiburg haben Kriminelle mit geklauten digitalen Cumulus-Bons in einer Migros-Filiale eingekauft. Das ist äusserst dreist. Denn der betroffene Kunde kann sich nicht erklären, wie seine Daten – in seinem Fall Sammelpunkte im Wert von 125 Franken – von seinem Kundenkonto «abgesaugt» werden und in falsche Hände gelangen konnten. Verschenkt hat er sie auf keinen Fall.
Strafanzeige und Ermittlungen
Es handle sich nicht um einen Einzelfall, bestätigt die Migros einen Bericht von «20 Minuten». Das Pendlerblatt machte den Fall des Freiburger Cumulus-Kunden öffentlich. «Wir werden in unregelmässigen Abständen zu ähnlichen Vorfällen von betroffenen Kundinnen und Kunden kontaktiert», sagt Migros-Sprecher Patrick Stöpper.
Ebenfalls bestätigt er Ermittlungen der Freiburger Kantonspolizei: «Es ist richtig, dass die Migros Strafanzeige gegen Unbekannt eingereicht hat und eng mit der Polizei kooperiert.» Um die Ermittlungen nicht zu stören, will sich die Migros weiter nicht dazu äussern.
Sollten Kunden einen entsprechenden Betrugsverdacht haben, können sich Cumulus-Mitglieder bei der Cumulus-Infoline melden, sagt Stöpper weiter.
Daten-Klau trifft die Migros
Wie die Daten in falsche Hände gelangt sind, erklärt sich die Migros mit sogenanntem «Credential Stuffing». «Denn uns sind keinerlei Sicherheitslücken im Cumulus-System bekannt. Das System wurde nicht gehackt. Es bestehen auch keine Leaks», sagt Sprecher Stöpper weiter.
Bei Credential Stuffing handelt es sich meist um Listen von E-Mails, Login-Namen und Passwörtern von Privaten, die Kriminelle auf diversen Wegen erbeutet haben. Und die man etwa im Darknet kaufen kann. Sie stammen aus diversen Hacks und Leaks. Diese wurden dann von Kriminellen bei verschiedenen Webseiten durchprobiert.
«Jetzt offenbar vermehrt auch bei der Migros, weil es dort ganz einfach was zu holen gibt», sagt Digital-Redaktor Lorenz Keller von BLICK. Dies, weil der Migros-Cumulus-Login nur ganz einfach mit E-Mailadresse und Passwort geschützt sei.
Auch Coop-Superpunkte betroffen?
Nicht nur die Migros (3,1 Millionen Kartenbesitzer) macht auf digital beim Sammelpunkte-Programm, sondern auch Coop mit seinen 3,24 Millionen Kundenkarten.
Allerdings sind dem Migros-Rivalen aktuell keine Fälle von Supercard-Punkte-Missbrauch bekannt, sagt Sprecherin Rebecca Veiga .
Wie sicher sind digitale Sammelpunkte?
Coop verweist auf seine hohen Sicherheitsstandards beim Sammelpunkte-Programm. «Daneben hilft ein sicherer Umgang mit dem Passwort, worauf wir unsere Kundinnen und Kunden in regelmässigen Abständen sensibilisieren», so Veiga.
Die Migros reagiert auf die Cumulus-Klau-Fälle. Sie arbeitet an der baldigen Einführung der Zwei-Faktor-Authentifizierung, etwa mittels SMS-Code. Damit können die digitalen Cumulus-Bons aktiviert werden.
Migros-Sprecher Stöpper: «Wenn unsere Cumulus-Mitglieder gewissenhaft und sorgfältig mit ihren Login-Daten umgehen, sehen wir keinen Grund, vom digitalen Gebrauch der Cumulus-Bons abzuraten.»
Machen es die Schweizer Kriminellen zu einfach?
Tatsache ist, erklärt IT-Sicherheitsexperte Damir Bogdan, dass über 80 Prozent der User dieselbe Mail/Passwort-Kombination für mehr als zwei Online-Dienste benutzen. Und gar ein Viertel nutzen mehrheitlich immer dieselben Anmeldeinformationen. «Wenn man diese Daten einmal über eine unsichere Verbindung oder einem unsicheren Dienst nutzt, so können Betrüger über diese unsichere Seite Zugang zu diesen Anmeldedaten erhalten», warnt Bogdan.
Machen es die Schweizer Kriminellen zu einfach, an ihre Daten zu kommen? «Es ist hier kein Problem von Schweiz oder Ausland, sondern vom Grad der Sicherheitsanforderungen der einzelnen Unternehmen die Online-Dienstleistungen anbieten», so der Experte weiter. Sicherheit und Bequemlichkeit/Einfachheit stünden leider meist im Gegensatz zueinander.
Sein dringender rat an Private: Für jede Webseite eigene Passwörter auszuwählen! «Ja, das ist mühsam, aber nur so kann man sich besser schützen.» Die Passwörter selber kann man in speziellen Tools verwalten. Bogdan nennt hier «Password Safe» oder «Secure Safe» als Beispiele.