Kommentare zu folgendem Beitrag: REWE Bonus – der feuchte Traum der Betrüger?
Die Zwei-Faktor-Authentifizierung der REWE Bonus-App hält nicht, was sie verspricht: Sicherheit. Sie lässt Kriminellen Hintertüre offen. Wir haben mal nachgehakt.
Kommentare zu folgendem Beitrag: REWE Bonus – der feuchte Traum der Betrüger?
Der Haken an der Sache liegt wie üblich im Detail. Nach mehrmaliger E-Mail-Korrespondenz mit der Presseabteilung der REWE Group teilte man uns mit, dass verkürzt ausgedrückt, die komplette Verantwortung für die Sicherheit beim Kunden liegt
Das könnte daran liegen, dass die REWE-Group nur noch eine Abteilung für ihre eigene hausinterne IT hat. Sie kümmert sich schlichtweg nicht um externe digitle Projekte, wie z.B. BONUS…
Dementsprechend dünn und zusammenhanglos mit Floskeln gespickt, antwortet die dortige Pressestelle!!
Zuständig für die hier genannten Projekte und Probleme ist die eigenständige Gruppe:
Wir sind die digitale Säule der REWE Group und verbinden zwei Welten: die stationäre und digitale Welt. Als strategischer IT-Partner der REWE Group verbessern wir Einkaufserlebnisse und Arbeitsprozesse durch smarte Technologien. Bei uns laufen alle Kabel und Codezeilen zusammen. Wir vernetzen, vereinfachen, modernisieren und sichern ab – für den Erfolg der REWE Group und für die digitale Zukunft des Handels.
REWE digital GmbH
Domstraße 20
50668 Köln
Telefon: +49 221 149-0
Telefax: +49 221 149-9280
---------------------------------------------
Kontakt für Presse:
presse@rewe-digital.com
kommunikation-digital@rewe-group.com
empfang-digital@rewe-group.com
Links zu REWE-Digital direkt:
Die REWE Bonus-App ist gegenüber dem bisherigen Payback-Kundenbindungsprogramm von Anfang an unattraktiver gewesen. Es gab früher regelmäßig Aktionen, dass man Payback-Guthabenpunkte bei Rewe-Einkäufen einlösen konnte, und 20 % der eingelösten Punkte erneut als Payback-Punkte gutgeschrieben bekam, z. B. bei 1000 eingelösten Punkten = 10 € erhielt man 200 Punkte = 2 € gutgeschrieben. Da ist der 10 % Coupon von heute bei 500 € Einkauf ein schlechter Witz.
Weiterhin werden seit Einführung der Bonus-App, Sonderangebote nur mit Angabe des Bonus-Rabatts beworben, ohne den Normalpreis des Artikels anzugeben. Ich bekomme also x € Bonus auf einen unbekannten Preis, dagegen läuft schon eine Klage des Verbraucherschutzvereins.
Ganz am Anfang habe ich die RWE App tatsächlich mal genutzt. Brachte mir aber zu wenig, weswegen ich das schnell wieder aufgegeben habe. Natürlich wird man weiterhin an der Kasse danach gefragt. Alles andere wäre auch verwunderlich… 
oder Rot-Weiss Essen (RWE)
1 „Gefällt mir“
Ich finde, wir sollten viel mehr mal darüber sprechen, wie viele Leute, erschreckender Weise offensichtlich auch hier, bereit sind für ein paar Euro Ersparnis ihre Daten zu verkaufen und sich zum gläsernen Kunden zu machen!
Ab wie viel Euro Ersparnis im Monat seid ihr denn Bereit eure Daten zu verkaufen?
Gar nicht! Ich besitze (noch nie) keine einzige dieser ganzen Apps / „Bonusprogramme“!
Und es wird auch zukünftig keine auf mein Telefon kommen. Was mich daran auch echt nervt, ist die Tatsache, dass dadurch mittlerweile auf den Regal-Preisschildern soviel drauf steht, dass man schon zweimal da drauf schauen muss, um den „normalen“ Kassenpreis herauszufinden!
In Prospekten sieht das ähnlich aus…
Am Besten noch, Guuble meiden, weil es die Pest ist, aber parallel 47 versch. Bonus-Apps am Start!
1 „Gefällt mir“
BTW:
REWE hat am 27.08.2025 den Login für REWE Bonus abgeändert, so dass die 2FA nun zwingend für den Kunden ist!!
Das ist aber kein echtes 2FA. Wenn der Cyberkriminelle das Passwort kennt (geleakte Datenbank) und der Nutzer das gleiche PW für die E-Mails benutzen sollte, geht das 2FA per Voreinstellung an die sowieso schon kompromittierte E-Mail-Adresse. 2FA per SMS oder Authentificator App ist leider nur optional und nicht voreingestellt. Quelle
Naja…zumindest sagen sie den Kunden, was es an 2FA-Möglichkeiten gibt! 
Welche Sicherheitsmethoden bietet ihr an?
Bei uns kannst du dein Konto mit diesen Sicherheitsmethoden zusätzlich schützen:
2-Faktor-Authentifizierung per E-Mail
Du bekommst eine E-Mail mit einem Bestätigungscode, den du beim Anmelden eingibst.
2-Faktor-Authentifizierung per App
Die Authentifizierungs-App erstellt einen Code, den du beim Anmelden eingibst.
2-Faktor-Authentifizierung per SMS
Du kannst eine SMS mit einem neuen Bestätigungscode anfordern, falls du mal nicht in dein E-Mail-Postfach kommst.
Man kann schließlich nicht alles, oder zuviel erwarten von einem Konzern, der im Geschäftsjahr 2024 einen Gesamtaußenumsatz von nur 96,1 Milliarden Euronen erwirtschaftet hat…
Und warum kann man das nicht? Es geht schließlich um die Sicherheit ihrer Kunden!
Sicherheitslücken, oder Fehler in Systemen die von Leuten ausgenutzt werden, gab es doch schon immer… ! Manchmal wissen die Betreiber nicht von den möglichen Fehlern und ignorieren die Anfangs und sind selbst überfordert.
Sobald sich die Fehler häufen und konkrete Hinweise vorliegen, wird entsprechend nachgebessert… - auch im Fall von REWE.
Ob die „Bonus-Zahlungen“ an die rechtmäßige Person gehen, oder jemand anders sich den „Bonus“ einstreicht, spielt bei der Kalkulation kaum eine Rolle… / Trotzdem ist der Bonus planmäßig weg. Deswegen sollte man dafür sorgen, wenn man an einem solchen Bonus Programm schon teilnimmt, das man die „Guthaben“ quasi zeitnah einlöst…
Denke das die REWE - IT, hier nachbessern wird und das Problem kurzfristig gelöst ist…
PS. Finde es tatsächlich auch nervig, das jeder „Discounter“ solche „Bonus-Kartensysteme“ einführt, wobei man gefühlt mit 3 Preisen rum hantiert…, den normalen, den Kartenpreis, den Extrawurst Preis…
Absolut nervig ist die LIDL APP… / Haben sich übrigens schon unsere „Lidl-App“, schon das Gefrage von früher nervte tierisch…
PS. Gibt von einem großen Spielehersteller, einen „Bug“ bei dem es möglich ist, mit ganz wenig Aufwand jedes Spiel (Trial) als Vollversionen umzuwandeln. Braucht noch nichtmal ein Tool… / Wenn ich auf diesen Fehler hinweisen würde - wäre er bald nicht mehr anwendbar. (und das bei über 7000 Games). Schweigen ist manchmal Gold wert…
PS. Gibt einen Streamingdienst der auch einen „Bug“ hat…
FRAGE:
Wer hat sich eigentlich den „TITEL“ für diese Story ausgedacht…
„REWE Bonus – der feuchte Traum der Betrüger?“
Ähhm - hier geht es um Bonus oder…
Endgültig gelöst ist da noch gar nichts.
Aber gut, sollte dem Unternehmen es tatsächlich egal sein, wer die Guthaben abfrühstückt, dann würde das natürlich leider stimmen… ;-(
Jedenfalls, werden die sich jetzt dem „Problem“ annehmen müssen, weil bereits öffentlich darüber Meldungen existieren… (sie müssen handeln)
Wenn es sich um „Einzelfälle“ handelt, wird es so sein, wie ich beschrieben habe… / ABER nun wird wohl diese „Schwachstelle“ ausgeräumt werden…
PS. Gibt aber überall Schwachstellen, die manchmal über Jahre nutzbar sind… / Sind die Folgen im kleinen Rahmen, wird sowas gerne vernachlässigt bzw. ignoriert / toleriert.
Ich würde die Rolle der Tarnkappe nicht überbewerten. Ob wir als kleines Medium ausreichend sind, damit man sagen kann, das ist „öffentlich“?! Nein, ich meine nicht. Nun, wir werden sehen.
Ich gehe davon aus, dass du Big Fish Games meinst. Solche Fehler werden in einschlägigen Foren thematisiert und sind sicher nicht ein Geheimnis, das nur du kennst.
In diesem Fall ist das wohl so… 
Lars, ich denke schon das du ein paar Leute in der „IT“ wach gerüttelt hast…
Die werden das binnen 14 Tagen ändern, wetten daß
Sarkasmus [/on] 
Es ist zumindest soweit öffentlich, dass sich auch andere damit beschäftigen. Und wer weiß schon, ob sich nicht längst irgendwelche „Security-Researcher“ mit dem Thema beschäftigen…?