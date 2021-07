Sicherheitsleck

Die Lidl-Bezahl-App hat ein schwerwiegendes Sicherheitsproblem: Verknüpfte Bankkonten werden nicht verifiziert. Nun häufen sich die Betrugsfälle.

Neckarsulm - Immer mehr Kunden zahlen kontaktlos. Auch Lidl wollte seinen Kunden diese praktische Bezahlmethode bieten, damit die Kundenbindung fördern und die Abwicklung an der Kasse beschleunigen. Eine eklatante Sicherheitslücke sorgt nun jedoch für mehr Ärger als Nutzen.

Lidl Pay: Unerlaubte Abbuchungen von bis zu 200 Euro

Seit Anfang Mai steht Kunden die Bezahlfunktion in der Lidl Plus App zur Verfügung. Doch die App hat Sicherheitslücken, die Betrüger nun für ihre Zwecke nutzen: Sie geben die Kontodaten anderer Kunden ein und bezahlen so ihre Einkäufe. Wie viele Verbraucher betroffen sind, steht bislang noch nicht fest. Die Polizei Berlin sammelt die Betrugsfälle seit 1. Juni 2021. Um valide Zahlen zu nennen, sei der Erhebungszeitraum aber noch zu kurz, so ein Sprecher gegenüber dem Onlineportal Supermarktblog. Auch die Höhe des Schadens lässt sich derzeit nicht genau beziffern. Betroffene Kunden meldeten allerdings Abbuchungen von bis zu 200 Euro.

Lidl spricht indes von Einzelfällen. „Vollständig ausschließen lassen sich Betrugsfälle unabhängig von der Bezahlmethode nie“, teilt eine Lidl-Sprecherin gegenüber der Wirtschaftswoche mit. In puncto Sicherheit gibt es allerdings Unterschiede bei verschiedenen Zahlungsmethoden. Haben Betrüger Zugriff auf Kontodaten, können sie diese vergleichsweise einfach zur Erteilung eines SEPA-Lastschriftmandates verwenden. Bei der Kreditkartenzahlung ist das nicht so leicht möglich, denn hier ist eine Zwei-Faktor-Authentifizierung vorgeschrieben. „Mit zwei voneinander unabhängigen Sicherheitsmerkmalen weist der Online-Käufer nach, dass er bei der Kreditkartenzahlung der rechtmäßige Kreditkarteninhaber ist (…)“, sagt der Bankenverband gegenüber Supermarktblog. Für SEPA-Lastschriften gelte diese Maßnahme nicht.

Sicherheitslücke in der Lidl-Plus-App: Discounter verzichtet auf Sicherheitsabfrage

Die Bezahl-App von Lidl macht es Betrügern recht einfach, Daten anderer Kunden für Einkäufe zu nutzen. Denn Nutzer müssen lediglich ihre E-Mail-Adresse verifizieren und eine Adresse eingeben. Andere Zahlanbieter wie etwa PayPal haben hingegen höhere Sicherheitsstandards und verifizieren das angegebene Konto zunächst mit einer Test-Buchung. Dabei erfolgt die Überweisung eines geringen Betrages durch PayPal auf das entsprechende Konto. Den Code in der Betreffzeile müssen User auf PayPal eingeben, um die Verknüpfung des Bankkontos zu verifizieren. Auf eine solche Sicherheitsabfrage hatte Lidl verzichtet.

Betrug mit Lidl-App: Woher stammen die Kundendaten?

Woher die Kontodaten stammen, ist bislang noch nicht geklärt. Zahlreiche Betroffene berichteten, dass sie nie Lidl-Kunde waren und die App nicht nutzen. Ein Datenleck in der App selbst wird deshalb nicht vermutet. Einem Bericht des Supermarktblogs zufolge könnten die Daten aus einem vorherigen Datenleck oder –hack stammen. Im Dark Net kursieren Listen mit gehackten Kundendaten, auf die Kriminelle zugreifen können. Möglicherweise stammen die Daten aus einer ähnlichen Liste.

So gehen Sie bei einer falschen Abbuchung von Lidl vor

Wer eine falsche Abbuchung von Lidl auf seinem Konto bemerkt, sollte umgehend eine Rückbuchung durch die Bank veranlassen. Eine Rückgabe ist ohne Angabe von Gründen bis zu acht Wochen nach der Abbuchung möglich. Außerdem sollten Verbraucher eine Anzeige bei der Polizei erstatten. Denn bei einer Rückbuchung leitet Lidl üblicherweise ein Inkassoverfahren ein. „Die Bearbeitung durch einen Inkassopartner stoppen wir selbstverständlich sofort, sollte sich ein Betrugsverdacht nach einer Anzeige bestätigen“, teilt Lidl der Wirtschaftswoche mit. Ob Lidl künftig auch andere Zahlungsarten als das Lastschriftverfahren in der App anbieten möchte oder Kontrollbuchungen plant, ist derzeit nicht bekannt.