ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Unsichere Passwort-Abfrage bei Amazon

Michael Schäfer
79 Kommentare

Laut Medienberichten tritt bei der Passwortüberprüfung von Amazon-Konten aktuell eine gravierende Sicherheitslücke auf. So soll das Versandhaus die Passwörter seiner Kunden nur unvollständig speichern, wodurch eine Anmeldung mit falschen Kontozugängen möglich ist.

Dies berichtet das Nachrichtenportal heise.de unter Berufung auf eigene Untersuchungen. So konnte das Problem bei vier von 30 Nutzerkonten reproduziert werden.

Es stellte sich heraus, dass Amazon anscheinend nur die ersten acht Zeichen eines Passwortes abspeichert, womit auf ein Kundenkonto auch dann zugegriffen werden kann, wenn Unbefugte lediglich die ersten acht Zeichen eines Passwortes kennen. Auch die gegenteilige Methode zeigte Erfolg: Wurden bei Passwörtern mit exakt acht Zeichen weitere angefügt, war ein Anmelden ebenfalls erfolgreich.

Die Pressestelle von Amazon blieb auch nach mehrmaligem Anfragen durch heise.de eine Antwort schuldig, womit über das Problem nur Mutmaßungen angestellt werden können. Im günstigsten Fall wurde bei Amazon bei einigen Passwörtern lediglich ein Hash-Wert aus den ersten acht Zeichen erstellt, andernfalls könnten diese auch im Klartext gespeichert sein. Passwörter mit weniger Buchstaben waren hingegen von der Sicherheitslücke anscheinend nicht betroffen. Eventuell könnte es auch Unterschiede im Alter der Konten geben: Die Problem-Passwörter waren schon seit längerem in Benutzung, neuere Konten oder vor geraumer Zeit geänderte Passwörter wiesen das Problem hingegen nicht auf.

Zudem scheint nicht nur die deutsche Internetpräsenz von Amazon betroffen zu sein, Amazon.fr, Amazon.co.uk und Amazon.com weisen die gleiche Problematik auf. Somit besteht der Verdacht, dass diese auf eine gemeinsame Datenbank zurückgreifen. Die japanische Präsenz Amazon.co.jp ist hingegen nicht betroffen.

Heise.de empfiehlt allen Benutzern, ihr aktuelles Passwort auf die Sicherheitslücke hin zu überprüfen, in dem bei Passwörtern mit exakt acht Zeichen weitere Zeichen angehängt oder bei Passwörtern mit mehr als acht Zeichen alle Zeichen bis auf diese weggelassen werden. In unserer Redaktion konnte die Sicherheitslücke nicht reproduziert werden.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz