Migros reicht Strafanzeige gegen Cumulus-Diebe ein

Einem Leser im Kanton Freiburg wurden Cumulus-Bons im Wert von über 125 Franken gestohlen. Jemand löste die digitalen Bons in einer Migros-Filiale ein. Wie das passieren konnte, ist dem Leser schleierhaft. Laut der Migros wurde der Freiburger Opfer von sogenanntem Credential Stuffing. Das heisst: Die Diebe klauten das Passwort.

Es scheint sich um keinen Einzelfall zu handeln. So haben sich auf den 20-Minuten-Artikel hin einige betroffene Leser gemeldet, denen das Gleiche widerfahren ist. «Wir werden in unregelmässigen Abständen zu ähnlichen Vorfällen von betroffenen Kundinnen und Kunden kontaktiert», sagt Patrick Stöpper, Mediensprecher der Migros. Dabei würden Täter ausnutzen, dass User teilweise dasselbe Passwort für mehrere Logins nutzten, erklärt Stöpper weiter.

Beim Cumulus-System sei keine Sicherheitslücke bekannt. «Das System wurde weder gehackt noch wurden Kundendaten geleakt», so Stöpper. Die Migros sei genauso Geschädigte dieser missbräuchlichen Bon-Einlösungen wie die betroffenen Cumulus-Mitglieder. «Deshalb hat die Migros auch Strafanzeige eingereicht.» Weil es sich um ein laufendes Verfahren handle, könne nicht gesagt werden, wo genau die Strafanzeige eingereicht worden sei.

Im Moment arbeite die Migros deshalb eng mit der Kantonspolizei zusammen und unterstütze die Ermittlungen. Bis auf weiteres rät die Detailhändlerin den Cumulus-Mitgliedern, nicht das gleiche Passwort für verschiedene Logins zu verwenden. Auch sollte das Passwort regelmässig geändert werden. Weil nicht klar ist, ob bei jedem Fall «Credential Stuffing» vorliegt, rät die Migros den Cumulus-Mitgliedern, sich im Verdachtsfall bei der Infoline zu melden.

So sagt auch der betroffene Leser, dass sein Passwort sicher sei. Er hat inzwischen die gestohlenen Bons im Wert von 125 Franken von der Migros zurückerhalten. «Der Migros ist wichtig, dass unsere Cumulus-Mitglieder zu keinerlei Schaden kommen», sagt Stöpper. Daher gilt: Sollten Daten gestohlen werden und Cumulus-Bons missbräuchlich eingelöst werden, ist die Migros kulant und erstattet die Bons.

Um in Zukunft solche Vorfälle zu vermeiden, will die Migros bald die Zwei-Faktor-Authentifizierung für die Aktivierung der Cumulus-Bons einführen, beispielsweise in der Form eines SMS-Codes.