Приложение для кэшбэка 2026: что сливают под видом бонусной программы ритейла

Сначала все выглядит безобидно, мы все скачивали приложения для получения скидки на первую покупку или привественных баллов. Скачайте приложение магазина, получите 300 бонусов за регистрацию, персональную скидку на кофе, купон на детское питание, кешбэк за чек и еще «секретное предложение только для вас». Вроде бы мелочь, а приятно. Деньги на дороге не валяются, как говорится.

У этих всех историй есть оборотная сторона. В 2026 году программа лояльности уже давно не просто пластиковая карта у кассы. Это полноценный цифровой датчик покупательского поведения. Он видит, что вы покупаете, когда покупаете, где находитесь, какие товары смотрите, какие скидки вас цепляют, сколько раз вы открывали приложение, когда бросили корзину и на какую цену, вероятно, согласитесь в следующий раз. Иначе откуда онлайн магазин знает, что вас заинтересует именно этот товар?

Но главный вопрос совсем звучит по-другому: что именно мы отдаем за эти бонусы?

Не все кешбэк-приложения опасны и не каждая программа лояльности является ловушкой. У нормального ритейла бонусная система может быть честным инструментом удержания клиентов, но рынок изменился. Сегодня данные покупателя стали отдельным активом. Ритейлеры строят рекламные платформы, бренды покупают доступ к аудиториям, аналитические компании собирают поведенческие профили, а мошенники охотятся за тем, что утекает, плохо защищено или добровольно отдается пользователем под видом «выгодного предложения».

Федеральная торговая комиссия США еще в 2025 году прямо описала проблему surveillance pricing, когда точная геолокация, история браузера, покупки, демография и поведенческие данные могут использоваться для индивидуального ценообразования, то есть для разных цен или предложений разным людям на одни и те же товары и услуги FTC, 2025. В Европе юристы уже обсуждают ритейл-приложения как модель «paying with data», где пользователь вроде бы получает скидки, но фактически платит персональными данными Freshfields, 2026. В России масштаб утечек тоже не выглядит успокаивающе: по данным Роскомнадзора, в 2025 году было зафиксировано 118 случаев компрометации баз персональных данных, в сеть попало более 52 млн записей ComNews/ТАСС, 2026. По оценке F6, которую приводил РБК, за 2025 год в открытый доступ попало более 767 млн записей с персональными данными россиян, включая телефоны, электронные адреса и пароли РБК, 2026.

Это не абстрактные цифры из мира больших компаний. Это та самая почва, на которой потом вырастают звонки «из службы безопасности», сообщения «вам начислен кешбэк», поддельные ссылки на «активацию бонусов» и фейковые приложения, которые выглядят почти как настоящие. В Getscam мы постоянно видим одну и ту же закономерность: мошенники редко начинают с пустого места, им нужны детали. Хотя бы что-то одно из списка: имя, номер, магазин, недавняя покупка, город, привычный банк, ссылка на бонусную программу. И, конечно, чем больше деталей, тем легче человеку поверить.

Как простое действие вроде регистрации в бонусной программе постепенно превращается в набор данных о покупателе.

Кешбэк как приманка: почему мы сами открываем дверь

Кешбэк хорош тем, что не выглядит опасным. Это не «вы выиграли миллион», не странный наследник из другой страны, который был популярен еще лет 10 назад, и даже не звонок с угрозами. Это бытовая выгода: купили продукты -получили баллы, заправились - вернулся процент, отсканировали чек - начислили бонус.

Психологически это работает почти безотказно. Человек не чувствует, что передает что-то ценное. Он думает: «Ну что там такого, номер телефона и чек». Но чек может рассказать о человеке больше, чем он сам готов сказать незнакомцу.

По чекам видны привычки семьи, примерный доход, район покупок, наличие детей, животных, диетических ограничений, лекарственных товаров, алкоголя, косметики, бытовой химии. Если приложение просит геолокацию, добавляется маршрут. Если просит доступ к уведомлениям, можно косвенно видеть активность банков, доставок, маркетплейсов. Если просит контакты, это уже не программа лояльности, а чужая рука в вашей записной книжке.

FTC в деле против InMarket описывала, как компания собирала геолокацию из собственных приложений и приложений с SDK, а затем использовала ее для рекламного таргетинга и сегментации аудитории; среди сегментов упоминались, например, «parents of preschoolers» и другие чувствительные категории FTC InMarket, 2024. Это американский кейс, но механика универсальна: приложение может выглядеть как помощник для покупок, а внутри быть частью рекламной и аналитической инфраструктуры.

Что именно могут собирать приложения лояльности и кэшбэка

Даже одна покупка может дать приложению больше сигналов, чем кажется на первый взгляд.

Сам по себе сбор данных не равен мошенничеству. Проблема начинается там, где пользователь не понимает, что именно отдает, кому эти данные передаются, как долго хранятся и можно ли отозвать согласие без танцев с бубном.

В российском праве персональные данные определяются широко: это любая информация, относящаяся к прямо или косвенно определенному человеку 152-ФЗ «О персональных данных». Согласие на обработку должно быть свободным, конкретным, информированным, сознательным и однозначным; после изменений 2025 года оно также должно оформляться отдельно от иных документов и условий КонсультантПлюс, ст. 9 152-ФЗ. На бумаге звучит правильно. На практике человек часто нажимает «Продолжить», потому что очередь на кассе, ребенок просит мороженое, а приложение обещает скидку 170 рублей.

Почему ритейлу это выгодно сильнее, чем кажется

Скидка в 30 рублей может выглядеть как подарок. Для сети это не подарок, а инвестиция в данные. Один чек почти ничего не стоит, а тысячи чеков в динамике превращаются в карту поведения.

• Ритейлер видит, какие товары вы покупаете без скидки, а какие только по акции. 
• Видит, как часто возвращаетесь. 
• Видит, когда меняете марку. 
• Видит, что после рождения ребенка вы стали покупать подгузники, детское питание и влажные салфетки. 
• Видит, что вы перешли на более дешевые продукты. 
• Видит, что вы готовы ездить в конкретный магазин, если купон достаточно вкусный.

И дальше появляется тонкая грань. Персональная скидка может быть полезной, но она же может стать способом проверить вашу болевую точку: на какую цену вы согласитесь, какую акцию заметите, какой товар купите по привычке, а где вас можно подтолкнуть.

Веремся снова в США, там эта тема уже дошла до расследований и публичных разбирательств. FTC в 2024 году начала изучать, как компании используют детальные потребительские данные для алгоритмического ценообразования, включая данные о местоположении, истории покупок и веб-поведении FTC, 2024. В 2025 году Consumer Reports заявляла, что Kroger через программу лояльности собирала детальные данные покупателей, строила профили и предлагала эти данные более чем 50 компаниям; Kroger не согласилась с рядом выводов отчета, но сам спор хорошо показывает, насколько ценными стали данные лояльности The Record, 2025.

Еще один показательный эпизод связан с Instacart. Reuters писал, что компания прекратила AI-эксперименты с ценами после критики: исследование Consumer Reports и партнеров показало, что некоторые пользователи видели цены до 23% выше, чем другие, на одинаковые товары в одном и том же магазине и в одно и то же время Reuters, 2025. Это не классический «слив данных», но это важная часть той же картины: если данные позволяют понять, кто сколько готов заплатить, они становятся рычагом.

Как бонусная программа превращается в источник утечек

Утечка не всегда выглядит как «хакеры взломали сервер». Иногда цепочка гораздо скучнее и от этого опаснее.

• Сначала магазин собирает данные.
• Потом подключает подрядчика для рассылок. 
• Потом еще одного для аналитики. 
• Потом рекламную платформу. 
• Потом CRM. Потом SDK внутри приложения. 
• Потом облачное хранилище. 
• Потом один сотрудник выгружает базу «для сегментации». 
• Потом один подрядчик неправильно настраивает доступ. 
• Потом база оказывается в Telegram-канале или на теневом форуме.

В материале Getscam о том, как утечки данных используются повторно, уже разбиралась неприятная вещь: мошенники не просто хранят слитые данные мертвым грузом. Они связывают их с новыми источниками, подбирают пароли, ищут совпадения телефонов, email, аккаунтов и старых анкет. Поэтому даже без данных карты набор «телефон + email + город + любимый магазин + последние покупки» может стать рабочим инструментом атаки.

Особенно опасны три типа данных.

Первый тип, контакты и идентификаторы. Телефон, email, ID аккаунта, рекламный идентификатор устройства. Это скрепки, которыми мошенник сшивает разные базы между собой.

Второй тип, поведенческие данные. Покупки, чеки, история скидок, любимые категории. Это помогает сделать обман персональным. Не «получите бонус», а «вам начислен кешбэк за покупку в магазине X от 14 июня».

Третий тип, данные доступа. Пароль, SMS-код, токен, привязанная карта, сессия в приложении. Это уже не просто профиль, а дверь в аккаунт.

Мошенническая схема часто начинается не с угрозы, а с привычного обещания выгоды

Типовая схема №1: «Вам начислен кэшбэк, подтвердите карту»

Это одна из самых живучих схем, потому что она идеально маскируется под нормальную механику ритейла. Человек действительно пользуется бонусами и ждет начисления. Он действительно видел похожие сообщения от магазина.

Сценарий обычно такой. Приходит SMS, письмо или сообщение в мессенджере: «Вам начислен кэшбэк 2 350 рублей. Подтвердите карту для выплаты». Ссылка ведет на страницу, которая копирует стиль известной сети или банка. Там просят ввести номер телефона, код из SMS, данные карты, иногда еще и «проверочный платеж» в 1 рубль.

На этом этапе человек думает не о кибербезопасности. Он думает: «Ну я же реально покупал там вчера». И в этом сила схемы. Мошеннику не нужно придумывать фантастику, ему достаточно попасть в привычный контекст.

В Getscam уже отдельно разбиралась тема мошенничества с банковскими картами: поддельные страницы, имитация банка, просьбы ввести реквизиты и коды остаются рабочей классикой. Только теперь приманка стала мягче: не «ваш счет заблокирован», а «получите выгоду». Мое правило здесь простое: если для получения бонусов вас просят ввести полный номер карты, срок действия, CVV или код из SMS, это не бонусная программа. Это рыбалка, а вы, к сожалению, рыба.

Типовая схема №2: «Скачайте приложение, только не из магазина приложений»

Еще одна дорожка выглядит как акция: «Установите новое приложение партнера и получите повышенный кешбэк». Ссылка приходит в SMS, Telegram, WhatsApp*, на почту или через QR-код на листовке. Дальше человеку предлагают скачать APK-файл, «обновленную версию», «приложение для Android без ограничений» или перейти в веб-кабинет.

У нормального пользователя редко есть привычка проверять разработчика, домен, разрешения и политику конфиденциальности. Он смотрит на логотип. Логотип похож. Цвета похожи и название почти такое же. Все, доверие получено!

Проблема в том, что фейковые сайты и поддельные приложения уже давно не выглядят убого. Они аккуратные, быстрые, иногда красивее настоящих, подробнее было в материале «Фейковые сайты и фарминг: как нас обманывают в 2026 году». Мошенники научились копировать не только дизайн, но и интонацию бренда: «получите», «активируйте», «успейте», «только сегодня».

Если приложение для кешбэка просит скачать файл вне App Store, Google Play или официального сайта бренда, это уже красный флаг. Если просит доступ к SMS, уведомлениям, контактам, специальным возможностям, установке других приложений, это не красный флаг, а сирена.

Типовая схема №3: QR-код на кассе, в кафе или у стойки выдачи

QR-коды стали удобной частью быта. Меню, оплата, чаевые, парковка, отзывы, акции. Мы сканируем их почти не глядя. Именно поэтому QR-сценарии так хорошо прилипли к ритейлу.

На стойке может лежать листовка: «Сканируйте QR и получите 500 бонусов». На вид все прилично. Код ведет на страницу, где предлагают войти по телефону. Дальше пользователь вводит номер, получает SMS-код, подтверждает вход. Иногда это фишинговая форма или бот. Иногда страница, которая просит привязать карту «для начисления».

В моих кейсах по QR-мошенничеству встречались ситуации, где между сканированием кода и попыткой оформить микрозайм проходило менее 40 минут, и это хорошо показывает скорость современных атак GetScam, QR-мошенничество. С кешбэком риск похожий: человек не воспринимает QR как ссылку. А надо воспринимать именно так, QR-код это обычная ссылка, просто в красивой квадратной маске.

Типовая схема №4: «Персональная скидка», которая выдает слишком много

Представим женщину, которая покупает тест на беременность, витамины и детские товары. Или мужчину, который регулярно берет лекарства, диетическое питание и товары для давления. Или, например, студента, который покупает энергетики, недорогую еду и часто использует рассрочки.

Для магазина это сегменты. Для рекламной системы это аудитории. Для мошенника это сценарий разговора.

Одно дело получить безликое сообщение «скидка на товары для дома». Другое дело, когда человеку приходит точечная приманка: «вам доступна компенсация за покупку лекарств», «верните кешбэк за детские товары», «получите бонус за покупку в аптеке», «подтвердите участие в программе поддержки семей».

Люди ведутся, потому что сообщение попадает в реальную жизнь. Когда преступник знает контекст, он звучит убедительнее. В социальной инженерии хорошо показано, что современный обман держится не только на технологии, но и на психологии: давление, срочность, персональное обращение, правдоподобная деталь.

Где грань между нормальной программой и подозрительной

Быстрый тест перед регистрацией: источник, разрешения, домен, поддержка и способ начисления бонусов.

Самый простой тест: спросите себя, нужна ли этому приложению такая информация для обещанной функции. Чтобы начислить баллы за покупку, не нужен доступ к контактам. А чтобы показать ближайший магазин, не нужна геолокация «всегда». И элементарно для того, чтобы отправить купон, не нужен CVV. Ну или дать скидку на молоко, паспорт не нужен.

Почему утечки из ритейла особенно больные

Есть утечки, после которых человек меняет пароль и живет дальше. Неприятно, но понятно. А есть утечки, которые раскрывают привычки. Ритейл как раз про привычки.

Покупки говорят о человеке почти домашним языком. 

• Что он ест. 
• Чем болеет. 
• С кем живет. 
• Есть ли ребенок. 
• Есть ли питомец. 
• Какой у него доход. 
• В каком районе он бывает. 
• Когда получает зарплату. 
• Где экономит, а где покупает дорогое. 
• Какие бренды любит. 
• Какие категории стесняется показывать.

Для мошенника такая информация золото. Она помогает не просто позвонить, а попасть в доверие.

«Вы недавно оформляли карту лояльности?»
«У вас были бонусы в магазине?»
«Вам положен возврат по акции партнера».
«Мы видим покупку, по ней ошибочно списались баллы».
«Нужно подтвердить номер, иначе кешбэк сгорит».

Звучит буднично. А будничность и есть лучшая маскировка. Я писал уже давно базовую статью о том, что можно узнать о человеке по номеру телефона. В контексте кешбэк-приложений номер становится связующим ключом. Если один и тот же телефон использовался в магазине, доставке, маркетплейсе, бонусной программе, объявлении и мессенджере, то после утечки мошеннику остается только собрать мозаику.

Data brokers, SDK и невидимые третьи лица

Самая неприятная часть мобильных приложений в том, что пользователь видит только фасад. Он видит иконку магазина, но внутри могут быть аналитические SDK, рекламные трекеры, инструменты атрибуции, push-платформы, антифрод-системы, платежные модули, карты, чат-поддержка.

Часть этих инструментов нормальна. Без аналитики приложение не улучшить, без антифрода не защитить аккаунты, без push-уведомлений не отправить статус заказа. Но чем больше внутри сторонних компонентов, тем шире периметр риска.

FTC в деле против Gravy Analytics и Venntel заявляла, что компании незаконно отслеживали и продавали чувствительные геолокационные данные, включая данные о посещении медицинских и религиозных объектов FTC Gravy/Venntel, 2024. В деле Mobilewalla регулятор указывал на сбор и продажу чувствительных location data, в том числе данных, которые могли раскрывать частный дом человека FTC Mobilewalla, 2024. Это не про российский магазин у дома, но про инфраструктуру мобильной рекламы и данных в целом. Когда приложение становится частью рекламного рынка, данные могут жить далеко за пределами самого приложения.

Обычный человек этого не видит. Он видит «скидка 15% на обувь», а за этой скидкой может стоять длинная цепочка передачи и обработки данных.

Как мошенники используют бонусные программы

У преступников есть несколько практических способов заработать на теме кешбэка.

Первый, фишинг под начисление бонусов. Жертве присылают ссылку на «активацию кешбэка», «возврат», «компенсацию», «персональный купон». Дальше крадут карту, коды, логин от банка или аккаунт в магазине.

Второй, кража аккаунта лояльности. У многих людей в бонусных аккаунтах лежат реальные деньги в виде баллов. Если пароль слабый или повторяется, аккаунт могут взломать и потратить накопления.

Третий, подмена приложения. Человек скачивает фейковое приложение, которое собирает логины, коды, уведомления, данные карты или просто ведет на поддельную оплату.

Четвертый, вишинг. Звонящий представляется поддержкой магазина, банка-партнера, службы кешбэка. Говорит, что была ошибка начисления, нужна верификация, срок действия бонусов истекает. Напомню, вишинг (голосовый фишинг): современный телефонный обман давно звучит не как «цыганский гипноз», а как приличный контакт-центр.

Пятый, повторное использование утекших данных. Если телефон и email уже есть в базе, а к ним добавились покупки и любимые магазины, атака становится теплее. Мошенник знает, куда бить.

Что проверить перед установкой кешбэк-приложения

Я бы не советовал превращаться в параноика и отказываться от всех бонусных программ, но есть базовая цифровая гигиена, которую стоит соблюдать.

1. Смотрите на разработчика. У крупной сети приложение должно быть опубликовано от официального юрлица или узнаваемого разработчика. Если название похоже, но разработчик странный, лучше не устанавливать.
2. Проверяйте домен. Не переходите по сокращенным ссылкам из SMS и мессенджеров. Откройте сайт магазина вручную через браузер или найдите приложение в магазине приложений.
3. Читайте разрешения. Приложение магазина может просить камеру для сканирования QR или штрихкода. Это нормально. Но доступ к контактам, SMS, микрофону, журналу звонков и специальным возможностям для кешбэка обычно не нужен.
4. Не устанавливайте APK-файлы. Особенно если ссылка пришла «по акции», «от партнера» или «только для Android». Фейковые приложения часто заходят именно через обход официальных магазинов.
5. Не вводите CVV для получения бонусов. Карта может понадобиться для оплаты покупки, но не для «подтверждения кешбэка». Бонусы не требуют полного набора банковских реквизитов.
6. Отключайте геолокацию «всегда». Если приложению нужно показать ближайший магазин, достаточно доступа «при использовании». Постоянная геолокация для скидок на продукты выглядит избыточно.
7. Используйте отдельную почту для магазинов. Это не панацея, но помогает отделить бытовые рассылки от важных аккаунтов.
8. Не используйте один пароль везде. Если пароль от магазина совпадает с почтой или банком, утечка ритейла превращается в проблему всей цифровой жизни.
9. Проверяйте неизвестные номера. Если вам звонят «по бонусам», «по кешбэку», «от партнера магазина» и просят коды или данные, номер лучше проверить отдельно. Getscam анализирует неизвестные телефонные номера по открытым и легальным источникам, помогает оценить репутацию номера, признаки массовых обзвонов, рекламной или мошеннической активности. Это не взлом и не доступ к закрытым данным, а нормальная превентивная проверка.

Что делать, если приложение уже установлено

Не надо паниковать, паника плохой советчик. Лучше пройтись по шагам.

Откройте настройки телефона и посмотрите разрешения приложения. Отключите все лишнее: контакты, микрофон, SMS, геолокацию в фоне, уведомления, если они не нужны. Поменяйте пароль от аккаунта лояльности, особенно если такой же пароль использовался где-то еще. Отвяжите карту, если она не нужна. Для покупок в магазинах безопаснее использовать отдельную виртуальную карту с лимитом. Проверьте историю списаний и бонусов, если баллы пропали, появились неизвестные покупки или странные устройства в аккаунте, обращайтесь в поддержку официального магазина. Отзовите согласие на лишние рассылки и обработку данных, если сервис дает такую возможность. По 152-ФЗ субъект персональных данных может отозвать согласие на обработку, хотя в некоторых случаях оператор может продолжить обработку при наличии законных оснований ст. 9 152-ФЗ. Проверьте телефон и email на признаки утечек. Если после установки приложения начались звонки, сообщения, «акции», «возвраты», «начисления», это повод насторожиться.

Как понять, что «бонусная программа» уже пахнет мошенничеством

• Есть несколько признаков, после которых лучше остановиться.
• Вам обещают слишком большой кешбэк без понятных условий. Например, 5 000 рублей за регистрацию, 70% возврата за обычную покупку, «компенсацию всем покупателям сети».
• Ссылка пришла не из официального приложения, а из личного чата, неизвестного номера, Telegram-бота или письма с похожего домена.
• На странице есть таймер, давление, фразы «осталось 10 минут», «бонус сгорит», «подтвердите срочно».
• Для начисления просят банковские реквизиты, CVV, SMS-код, пароль от личного кабинета, код из push-уведомления.
• Приложение требует доступ к SMS, контактам, уведомлениям, микрофону или специальным возможностям.
• Поддержка пишет первой и переводит разговор в мессенджер.
• Вас просят оплатить комиссию для получения кешбэка. Настоящий кешбэк не начинается с оплаты комиссии.

Таблица риска для разных пользователей

Безопасное использование кешбэка держится не на страхе, а на простых привычках: проверять источник, не давать лишние разрешения и не вводить банковские данные ради бонусов.

Что должны делать сами ритейлеры

Пользователь может быть осторожным, но ответственность нельзя перекладывать только на него. Если бизнес строит бонусную программу, он обязан защищать людей, а не прятаться за длинной политикой на 40 страниц.

Нормальная программа лояльности должна собирать минимум данных. Не «все, что можно», а только то, что нужно для конкретной функции. Если магазин дает скидку на хлеб, ему не нужна постоянная геолокация и контакты пользователя. Согласие должно быть понятным. Не в стиле «настоящим пользователь выражает согласие на обработку, передачу, обогащение, профилирование и иные действия», а человеческим языком: что собираем, зачем, кому передаем, сколько храним, как удалить. Передача подрядчикам должна быть контролируемой. 152-ФЗ прямо говорит, что оператор может поручить обработку персональных данных другому лицу, но ответственность перед субъектом за действия этого лица несет оператор 152-ФЗ. Иными словами, нельзя сказать: «Это не мы, это рассыльщик/CRM/аналитика/подрядчик». Пользователю от этого не легче.

Утечки должны сообщаться быстро и честно. С 30 мая 2025 года в России действуют более строгие штрафы за незаконную передачу персональных данных и отдельные санкции за неуведомление Роскомнадзора об утечке КонсультантПлюс, обзор изменений. Для бизнеса это уже не «репутационная неприятность», а полноценный юридический и финансовый риск.

Главный вывод

Главный вывод простой, но одновременно сложный. Кешбэк не бесплатный, так как иногда вы платите временем, вниманием или данными. А иногда, если не повезет, деньгами с карты.

В 2026 году программа лояльности перестала быть простой скидочной карточкой. Это маленький договор между человеком и бизнесом: вы даете данные, вам дают выгоду. Такой договор может быть честным, но он должен быть понятным. Без лишних разрешений, без скрытых передач, без принуждения через «только в приложении», без странных ссылок и без просьб ввести банковские данные ради бонусов.

Я бы сформулировал правило так: бонусы можно получать, но нельзя ради скидки отдавать телефон в чужие руки с закрытыми глазами. Бесплатный сыр, как известно, бывает только в мышеловке. В 2026 году он бывает еще и в пуш-уведомлении.

*Запрещены или ограничены на территории РФ

❗️ Материал носит исключительно информационный характер и не является юридической консультацией.

Частые вопросы

Опасно ли пользоваться приложениями кэшбэка?

Само по себе нет. Опасность начинается, когда приложение собирает лишние данные, просит ненужные разрешения, предлагает установить файл вне официального магазина или требует банковские реквизиты для «начисления» бонусов.

Нужно ли давать приложению доступ к геолокации?

Для поиска ближайшего магазина достаточно доступа «при использовании». Постоянная геолокация для обычной программы лояльности почти всегда выглядит избыточной.

Может ли магазин передавать мои данные партнерам?

Может, если для этого есть законное основание и пользователь был нормально проинформирован. Но формулировка «партнеры» в политике конфиденциальности должна насторожить, если не указано, кто именно получает данные и для каких целей.

Почему после регистрации в бонусной программе стало больше звонков?

Причин может быть несколько: совпадение по времени, утечка, передача данных подрядчикам, старая база, фишинговая форма вместо настоящей программы. Если звонки связаны с бонусами, кешбэком или магазином и просят коды, лучше проверить номер и не продолжать разговор.

Что делать, если я ввел данные карты на странице «получения кешбэка»?

Сразу заблокируйте карту или установите нулевой лимит, обратитесь в банк, смените пароли, проверьте операции и сохраните ссылку/скриншоты. Если вводили SMS-код или push-код, действовать нужно особенно быстро.

Можно ли полностью удалить свои данные из программы лояльности?

Можно направить запрос оператору и отозвать согласие на обработку персональных данных. Но часть данных компания может хранить по законным основаниям, например для бухгалтерского учета или исполнения требований закона. В любом случае стоит запросить удаление лишних данных и отключить рекламные рассылки.