Gestern war ich bei Penny einkaufen und habe mir spontan eine Gutscheinkarte des Marktes selbst gekauft. Eigentlich nichts Ungewöhnliches – solche Karten hängen heutzutage in fast jedem Supermarkt an einer eigenen Wand, zusammen mit SIM-Karten, Aufladekarten für Handyguthaben oder Geschenkoptionen für große Online-Plattformen.
Die Penny-Karte, die ich in der Hand hielt, sah aus wie eine kleine Bankkarte: stabiles Plastik, ein aufgedruckter Barcode, keine zusätzliche Abdeckung. Der Barcode war nicht zufällig sichtbar, sondern dafür extra mit einem ausgeschnittenen Bereich in der Verpackung freigelegt. Damit er an der Kasse problemlos gescannt werden kann, steckt die Karte so in einem Pappträger, dass dieser Ausschnitt den Code komplett sichtbar macht – noch bevor die Karte überhaupt gekauft oder aufgeladen wurde.
Ich habe die Karte an der Kasse mit einem Betrag aufgeladen. Ab diesem Moment war sie sofort einsatzbereit. Es gab keinen PIN, nichts zum Freirubbeln, keine zweite Sicherheitsstufe – nur diesen einen sichtbaren Barcode. Und rein theoretisch hätte ich mir vorher alle anderen Barcodes der Karten im Regal einfach abschreiben oder abfotografieren können. Die Theorie dahinter: Manche dieser Karten werden nicht sofort eingelöst, sondern erst Tage oder Wochen später – oft als Geschenk. Würde ich also den Code kennen, könnte ich ihn sofort nach der Aufladung durch jemand anderen einlösen, zum Beispiel, indem ich ihn in ein digitales Wallet auf meinem Smartphone speichere.
Auch bei Karten von Amazon, Spotify oder diversen Tankstellenanbietern funktioniert das Prinzip ähnlich – nur, dass es dort in manchen Fällen einen zusätzlichen PIN unter einem Rubbelfeld gibt, der für die Einlösung zwingend benötigt wird. Fehlt so eine zweite Hürde, bleibt als letzte Sicherheit eigentlich nur, dass die Karte auf alle Fälle physisch vorgelegt werden muss.
Und genau da kommt die entscheidende Frage: Passiert das in der Praxis wirklich immer? Wird jede Kassiererin, jeder Kassierer im Trubel eines volleren Marktes tatsächlich darauf achten, ob die Karte im Original vorliegt? Oder reicht es am Ende, den Code zu zeigen – egal von welchem Träger?
Mein Fazit: Auch wenn ich meine Karte ganz regulär gekauft und genutzt habe, bleibt ein ungutes Gefühl zurück. Eine Gutscheinkarte mit dauerhaft sichtbarem Barcode ist aus meiner Sicht eine unnötige Einladung für potenziellen Missbrauch. Und das Problem betrifft nicht nur Penny – es ist eine generelle Sicherheitslücke bei Guthabenkarten ohne PIN, die wortwörtlich offen im Regal hängt.
"Dieser Text spiegelt ausschließlich meine persönliche Meinung und Erfahrung wider. Die geschilderten Szenarien sind theoretische Überlegungen und keine Aufforderung zu rechtswidrigem Handeln."
Uuiiiii.
Danke für den Tipp.
Kaufe 80% meiner Dinge im Penny, so komme ich ja deutlich günstiger an meinen Wocheneinkauf…
🥸🥸🥸👀👀🙈🙈🙈
Im Ernst, das sollte gemeldet werden
Eventuell diesen Bericht direkt an die Zentrale von Penny senden?
Die reagieren auf Beschwerde auch recht zeitnah (eigene Erfahrung, da deren“ Eigenmarke blaues, saures, Calippo Eis Klon“ bei mir die Haut ablöste am Gaumen und der inneren Unterlippe, sodass ich zum Arzt musste.
Die Überprüfung von Penny ergab leider keinen Produktionsfehler, sodass ich mit 8 € Gutschein abgespeist wurde.
(habe keinerlei Allergien oder bin empfindlich).
Die Reaktion seitens Penny war aber insgesamt sehr zügig.
Ich habe mal um eine Stellungnahme der Presseabteilung von der REWE Group angefragt. Mal schauen, ob und was da zurückkommt :-).
Schon mal was von Arbeitsvertrag und Einarbeitung gehört? Was fragst Du als Nächstes? Ob Busfahrer auch mal am Steuer einschlafen könnten und es Fahrassistenten oder Pausenregelungen gibt?
Offensichtlich interessieren dich die beiden Punkte. Könnte man also durchaus in Betracht ziehen, auch darüber zu berichten. 😉
Potenzieller Missbrauch ist möglich, ja. Ich schätze die Wahrscheinlichkeit aber eher als sehr gering ein. In der Praxis achten die Kassiererinnen da nicht drauf. Man hat eh alles auf dem Handy. Das hält man an den Scanner, der Rest geht automatisch. Ich nutze bspw. Loyality Card Keychain. Das ist Open Source und da sind alle Karten drin. Auch Gutscheine und Guthabenkarten, die ich geschenkt bekommen habe. Bisher hat das niemanden an der Kasse interessiert, dass ich das vom Handy gescannt habe und nicht die physische Karte vorgelegt habe.
Melden würde ich das auch. Und zwar direkt bei Penny und bei der zuständigen Datenschutzbehörde. In Deutschland gibt’s doch sowas. K.A., wie das heisst. Die reagieren aber ebenfalls sehr schnell und kompetent.
Das kommt auf den Markt an. Ich arbeite in einer Leitungsposition im Markt einer etwas größeren Non-Food-Kette und kann dir versichern, dass keiner der erfahreneren Kassierer deine App scannen würde und auch ein „Zettel“ auf den der Barcode aufgedruckt ist, nicht zum Erfolg führen würde. Bei Leuten frisch aus der Einarbeitung kann sowas natürlich passieren, aber generell: Die Leute an der Kasse haben diese Karten am Tag ein dutzend Mal – mindestens – in der Hand, denen würde der Unterschied auffallen und was die App angeht… abseits der offiziellen App der Kette dürfen die nach firmeninterner Vorgabe nicht einmal eine andere App berücksichtigen. Allerdings gehören wir auch zu der „mit zusätzlicher Pin“-Variante und digitale Gutscheine funktionieren bei uns nur, wenn der Kunde eh in der App mit seinen Daten eingeloggt ist… das Missbrauchsrisiko würde ich in unserem Fall also als ziemlich gering einschätzen.
Ich schätze die Gefahr als sehr hoch ein, dass jemand anderer die Gutscheinkarten mit den eigenen gefälschten Karten tauscht, im Prinzip eigentlich ganz einfach.
Wie an den Parkautomaten beim Bezahlen von Parkgebühren und das ist auch schon Missbraucht worden, in dem Andere neue Aufkleber auf die Originalen geklebt haben.
Wie meinst du das denn? Weil die können ja dann nicht aufgeladen werden… Oder übersehe ich da was?
Dazu gibt es mehrere Berichte in der ARD / ZDF wo mit u.a.Guthabenkarten aller Art Missbrauch betrieben wurde.
Hier zwei Videos zu dem Thema
https://youtu.be/lVMDip_ayf4
https://youtu.be/gpIpz07vwgw
Das mit den Rufnummern bei den SIM-Karten ist auch nicht besser (Bei den ganzen Prepaid Sets kann man hinten über dem Barcode die Rufnummer sehen).
Was ist daran schlimm?
Rufnummer kann niemanden direkt zugeordnet werden.
Da ist WhatsApp oder jeder Online Dienst, der nur über die Telefonnummer samt Namen funktioniert, weitaus schlimmer.
Neeee
Du kannst alles in Whatsapp auschalten udn es sieht niemand mehr deine Tel Nummer, und ich glaube nicht das die firma Meta deine nummer missbrauchen zum Telefonieren. ^^
Kann die bedenken verstehen, deshalb vielleicht auch nicht die erst beste Karte vom Ständer nehmen. Dazu kommt, dass in 2 Jahre den Barcode teils verschwinden wird. Wie und ob es auch bei dein Gutscheinkarten der Fall sein wird, muss man dann schauen. Bei Manchen vielleicht dann doch ausweichen und bei dem Online Shop direkt kaufen und ausdrucken. Gibt auch Webseiten wie Aufladen.de wo man durch eine kleine Gebühr auch ein Gutschein bekommt.
Sie Solten es wie amazon karten machen, verpacken und darin der code.
Eine Geschenk(guthaben)karte ist nicht personalisierbar und kann von jedem/jeder genutzt werden der Zugriff darauf hat bis der aufgebuchte Betrag aufgebraucht ist.
Die meisten Guthabenkarten sind Anbieter/Dienste bezogen. Die meisten Karten haben einen festen Wert, der dem Kundenkonto, beim aktivieren gutgeschrieben wird. Diese Karten werden beim ersten mal personalisiert und verlieren dann ihre Gültigkeit.
Die Seriennummern von Pin geschützten Anbieterkarten werden zudem nach dem Verkauf an den Anbieter übermittelt, und damit frei geschaltet. Eine gestohlene Katrte kann somit nicht mit dem Pin legitimiert werden wenn sie nicht vorher übermittelt wurde.
Und genau das passiert auch immer wieder… und der Käufer ist der Gelackmeierte. Die Betrugsmasche gibts schon seit es solche Karten gibt. Zusammen mit dert anderen Masche diese Karten zur Geldwäsche zu benutzen.
Nix Neues unter der Sonne ;-P
Ich hatte ein Deja vu beim lesen:
https://www.heise.de/news/Schlechtscheine-Wie-leicht-sich-Gutscheinkarten-ausrauben-lassen-2576880.html
Wow. Den Bericht kannte ich nicht. Aber dann hat sich seit 10 Jahren nicht viel verändert