Wie leicht lassen sich Geschenkgutscheincodes knacken?

Ich hatte vor kurzem so ein Phänomen, das ich mir nicht so wirklich erklären kann. Ich hatte bei der App TVSmiles Gutscheincodes angefordert, die ich dann auch einlösen wollte, jedoch wurde mir angezeigt, dass diese Codes gar nicht mehr gültig seien oder schon eingelöst worden wären. Das fand ich natürlich sehr ärgerlich und habe daraufhin dem Support von TVSmiles geschrieben.

Denn so etwas sollte meiner Ansicht nach nicht sein und ich weiß ganz bestimmt, dass weder ich noch jemand aus meinem Umfeld ohne mein Wissen diese Codes eingelöst hat. Außer mir hatte niemand den Zugang zu meinem Email-Postfach und ich habe auch keine Email oder so weiter geleitet.

Da stellt sich mir die Frage, wie leicht so ein Code eigentlich von kriminell motivierten Menschen geknackt werden könnte. Kann man das so ohne weiteres machen mit speziellen Programmen oder gibt es spezielle Sicherheitsvorkehrungen der Gutschein-Händler um dies zu verhindern? Ist euch das auch schon passiert, dass ihr einen neuen Gutscheincode einlösen wolltet und dies war nicht möglich wegen Ungültigkeit?

Also, ich arbeite hauptberuflich in der Qualitätssicherung eines großen Online-Händlers. Daher weiß ich, wie die Gutscheine in unserem Unternehmen generiert und gepflegt werden. Ich vermute, dass dieses Verfahren auch bei anderen Online-Anbietern genutzt wird:

Für eine bestimmte Werbekampagne werden z.B. 10.000 Gutscheine generiert. Das könnte z.B. eine 25%-Rabatt-Kampagne sein. Die generierten Gutscheincodes sind 8-stellig, bestehen aus Buchstaben und Nummern - und jeder einzelne Code wird tatsächlich völlig zufällig generiert (d.h. es gibt keine aufsteigenden Nummer o.ä.). Alle 10.000 Codes werden in der LIVE-Datenbank hinterlegt.

Wenn du nun einen dieser Codes einsetzt (weil du ihn z.B. per E-Mail erhalten hast), wird er - nach Bezahlung - in der Datenbank als "Benutzt, nicht mehr gültig" markiert.

Da die Zusammenstellung der Codes keinem systematischen Rezept folgt (sondern jeder einzelne Code per Zufall generiert wurde), ist es für Hacker eigentlich nicht/kaum möglich, die Codes durch "Ausprobieren" zu knacken. Es gibt - da alle Zeichen in jeder beliebigen Reihenfolge in einem Code vorkommen können - einfach zu viele (schier unendliche) Möglichkeiten, wie die Codes aussehen könnten.

Wenn es bei dir eine Fehlfunktion gegeben hat (und die Codes als "bereits benutzt" klassifiziert waren), tippe ich auf eine andere Art von Fehlfunktion. Vielleicht wurden dir - aufgrund eines technischen Fehlverhaltens - tatsächlich benutzte Codes zugestellt. Oder der Datenbank-Check hat irgendwie nicht funktioniert.

Natürlich kann ich - per Ferndiagnose - einen betrügerischen Hacker-Fall nicht ausschließen. Aber die meisten Unternehmen sichern sich - mit den beschriebenen Mechanismen - ganz gut ab. Darum ist es eher unwahrscheinlich.