Die Schlampereien von Amazon … Kennwortschutz ist Schall und Rauch

AmazonScheint, als habe der Versandhändler Amazon momentan keinen wirklich guten Lauf. Skandale, Schlampereien, Streiks und negative Presseberichte kratzen am Ruf des Unternehmens. Waren letzte Woche noch "ausgesperrte Kunden" das Thema, ist heute ein ausgesprochenes Sicherheitsloch bei der Amazon-Anmeldung zu verzeichnen.


Anzeige

Das die Mitarbeiter bei Amazon.de streiken, daran hat man sich bereits gewöhnt. Dass Amazon-Chef Bezos die Washington Post für 250 Millionen US $ kauft – eine Randnotiz. Und auch der Umstand, dass Amazon für Anbieter eine Black-Box ist, und schon mal mit harscheren Geschäftsmethoden auffällt, interessiert die meisten Kunden nicht.

Aufreger der Woche Nr 1: Kundenkonto einfach gesperrt

Was den deutschen Käufer schon eher auf die Barrikaden bringt: Amazon.de sperrt Kundenkonten, wenn "zu viele" Rücksendungen verbucht sind. Zum ersten Mal habe ich es bewusst durch den Beitrag von Caschy auf's Radar bekommen. Aber das gab es schon früher (Sperre wegen Rücklastschrift, Sperre wegen zu vieler Rücksendungen).

Der Händler hat sicherlich das Recht, sich seine Kunden auszusuchen. Aber die Art und Weise, wie das Ganze abläuft, ist umgangssprachlich "unter aller Sau". Keine Warnung vorab – keine Stellungnahme seitens Amazon.de, was genau "zu viele Rücksendungen sind" – keine Möglichkeit für den Kunden, da ggf. darauf zu reagieren.

Aber es kommt noch schlimmer: Amazon will ja mit Diensten und Geräten punkten. Bei einer Kontosperre kann man weder Musik noch sonstige Sachen zukaufen. Wie es mit gestreamter Musik ausschaut, weiß ich nicht. Aber: Wer auf das Amazon-Kindle gesetzt hat, kann wohl weiterhin seine bereits gekauften eBooks lesen – aber es gibt keine Möglichkeit, weitere eBooks aus dem Kindle-Angebot zuzukaufen.

Da kommt die "Vogel friss, oder stirb"-Methode des Unternehmens, welches Anbieter von Waren nach meinen Informationen längst kennen, auch beim Kunden zum Vorschein. Machen kann man nichts, da Amazon da die "Black Box" oder den "toten Mann" gibt. Und das ist das bedenkliche daran. Es ist nachvollziehbar, wenn ein Händler Kunden, deren Rücksendungen seine Kalkulation ziemlich durcheinander bringen, von der Bestellung physischer Waren ausschließt. Auch Leute, die nicht zahlen können oder wollen, sind sicherlich keine gerne gesehenen Kunden. Aber jemanden dann komplett auszusperren, egal, was sonst noch dran hängt, ist im günstigsten Fall unprofessionell, um schlimmsten Fall rechtlich unzulässig. Bin mal gespannt, wann die ersten Klagen laufen.

Aufreger der Wochen Nr. 2: Schlampereien bei der Kennwortabfrage

Die noch größere Schlamperei hat heise.de heute aufgedeckt. Amazon stoppelt bei der Kennwortabfrage für Kundenkonten. Ich konnte es zuerst kaum glauben – aber man braucht nicht das ganze Kennwort einzutragen und kann sich direkt anmelden. Ich habe es gerade bei einem Konto probiert – die ersten 8 oder 9 Zeichen reichen aus – der Rest ist irrelevant.

Heise.de schreibt zwar etwas von einem acht Zeichen langen Kennwort (was missverständlich sein kann). Problem ist laut heise.de, dass offenbar nur die ersten 8 Zeichen des Kennworts ausgewertet werden. Ich habe es dann genauer getestet – bei meinen Anmeldeversuchen mit einer 14 Zeichen umfassenden Kennwort musste ich 11 Zeichen eintragen. Andernfalls wurde das Kennwort abgelehnt. Und noch mysteriöser: Als ich diese Zeilen zusammengetippt habe, musste ich das komplette Kennwort eingeben, um mich anzumelden.

Dachte schon, ups, da hat ein Administrator bei Amazon.de mitgelesen und schnell was umgestellt. Also vom Firefox auf den Google Chrome-Browser gewechselt und schon konnte ich mich wieder mit dem verkürzten Kennwort anmelden. Darauf hin wurde ich stutzig und habe noch etwas getestet, um dann ziemlich verwirrt zurück zu bleiben.


Anzeige

Die Choose geht noch weiter …

Ich habe den Cache, sowie den Verlauf des Browsers (Firefox) gelöscht und mich dann am Amazon.de-Kundenkonto anmelden wollen. Allerdings habe ich zwei Kundenkonten – eines, über welches ich bestelle – und eines für Affiliate-Aktionen hier im Blog. Meine Überraschung war dann riesengroß, als ich mich mit der E-Mail-Adresse des Bestellkontos  Nr. 1 und dem verkürzten Kennwort anmeldete. Die Anmeldung klappte, aber ich landete im zweiten Kundenkonto (bei dem ich zuletzt angemeldet war). Nur wenn ich mein komplettes Kennwort vollständig eingetippt habe, wurde ich am richtigen (sprich: zur eingegebenen E-Mail passenden) Kundenkonto angemeldet.

Meine Vermutung: Amazon benutzt einen Tracking-Mechanismus (Fingerabdruck des Browsers oder was weiß ich), um die Besuche des Kunden zu identifizieren. Und weil ich meine Cookies und Verläufe gelöscht hatte, lief da irgend etwas falsch – jedenfalls war es hier im Test reproduzierbar.

  • Melde ich mich mit dem kompletten Kennwort (verkürzte Kennwörter akzeptiert der Amazon-Anmeldeserver nach dem ersten erfolgreichen Versuch wohl nicht mehr) an Kundenkonto Nummer 2 an und dann wieder ab, kommt es zur Kollision.
  • Wenn ich im Anschluss die E-Mail-Adresse des ersten Kundenkonto in das betreffende Anmeldefeld eintippe, dann aber das verkürzte Kennwort verwende, lande ich bei der Anmeldung in Konto 2.
  • Nur mit vollständiger E-Mail-Adresse und vollständigem Kennwort werde ich am korrekten Konto angemeldet.

Ich konnte das hier im IE 10, Firefox 23 und Google Chrome 27 nachvollziehen. Irgend eine Session-ID, die unabhängig vom Browser ist (ich habe die Browser auch komplett beendet) scheint da zu überleben. Das ist, freundlich gesagt, ziemlicher Mist – heise.de empfiehlt, ein neues, längeres Kennwort zu verwenden. Das soll anders gespeichert werden. Eine Erklärung könnte sich in diesem Diskussionsbeitrag finden. Ich teste das jetzt mal und trage es ggf. nach.

Nach den obigen Erfahrungen traue ich aber nix und niemand mehr. Bisher habe ich Amazon.de als vertrauenswürdigen Anbieter eingestuft – aber nach dieser Erfahrung werde ich das nochmals überdenken.

Ähnliche Artikel
a1: Finger weg vom Microsoft Store!
a2: Pleite durch Prepaid-Karten?
a3: iPad: Sicherheit von Apps überprüfen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Die Schlampereien von Amazon … Kennwortschutz ist Schall und Rauch

  1. Günter Born sagt:

    Nachtrag: Irgend etwas ist da nicht wirklich koscher – dieser Forenbeitrag bei heise.de zeigt ebenfalls in diese Richtung. Zwei Benutzerkonten mit gleicher E-Mail, aber unterschiedlichen Kennwörtern.

    Kommt natürlich richtig gut – kenne ich das E-Mail-Konto eines Amazon-Kunden und nutzt der den Google Chrome-Browser und lässt er die Kennwörter auch noch im Browser speichern, ist sein Kundenkonto offen wie ein Scheunentor. Da habe ich ja noch Glück gehabt, weil ich diese Sicherheitslücke eigentlich in allen Browsers vorausgesehen habe.

    Ach ja: Momentan hat die Telekom Probleme, mich zum Server weiterzuleiten, auf dem der Blog gehostet wird. Daher tauchen wohl kurzzeitig doppelte Beiträge auf. Offenbar ist die Telekom auf Kundenfang und vernachlässigt die Technik – kann in's Auge gehen.

    Update: Ich habe es nochmals geprüft – auch die Änderung des Kennworts hilft mir nicht wirklich weiter. Aber es ist nun klar, dass nicht mein zweites, aktiv genutztes Amazon-Affiliate-Konto bei unvollständigem Kennwort angemeldet wird. Vielmehr tritt ein mysteriöser Effekt ein.

    – Melde ich mich mit vollständigem Kennwort an, gelange ich auch zum Konto mit den Bestellvorgängen und den Zahlungsanweisungen
    – Melde ich mich mit unvollständigem Kennwort an, gelange ich zu einem zweiten Konto, in dem ich mit meinem korrekten Vornamen begrüßt werde. Dort sind aber weder Bestellungen noch Infos zu Zahlungsarten sichtbar.

    Das zweite Konto ist irgend eine Art Schattenkonto, welches wohl aus meinen Anmeldedaten generiert wurde, aber sonst aktivitätsmäßig ziemlich tot ist. Da ist wohl softwaremäßig einiges im Argen bei Amazon – genau wie beim Umstand, dass Rezensionen oft über mehrere Bücher eingespiegelt werden – obwohl sie erkennbar für andere Titel verfasst wurden. Hat mir schon heftige Kritik der Besucher eingebracht, die dann bei diesen "gespiegelten" Rezensionen von Fakes ausgingen. Alles nicht wirklich schön, passt aber in's Bild.

  2. HansS sagt:

    Ich kann mich nur nach Eingabe des gesamten Kennworts anmelden. Es ist allerdings auch erst wenige Monate alt, insofern wäre für mich die Erklärung aus dem verlinkten Diskussionsbeitrag plausibel.

  3. Pingback: Schlamperei beim Passwortschutz von Amazon ? – Deskmodder.de

  4. Marc sagt:

    vor wenigen Wochen hatte ich eine Bestellung – in der Paket-Nachverfolgung direkt über die Amazon-Page war ein Altauftrag für einen anderen Kunden einsehbar.
    als ich per chat drauf hinwies, hat man mir mitgeteilt, man leite es an DHL weiter.

    über die "normale" DHL-Sendungsverfolgung war die Sendung jedoch nicht "sichtbar".

  5. Günter Born sagt:

    Nachtrag: Nach weiterem Probieren sieht es nun so aus, als ob ich insgesamt drei Kundenkonten bei Amazon habe. Zwei aktive Konten und ein "Schattenkonto", in dem, außer meinem Namen in durchgehender Kleinschrift und ü als ue buchstabiert, keine sinnvolle Information steckt. Das Konto ist nie verwendet worden – und ich kann mich wissentlich auch nicht daran erinnern, dass ich das mal angelegt hätte (aber man soll niemals nie sagen).

    Jedenfalls habe ich das Kennwort dieses Schattenkontos geändert – und seitdem klappt auch das verkürzte Kennwort zur Anmeldung nicht mehr. Scheinbar verwendet Amazon bei gleicher E-Mail-Adresse das Kennwort zur Auswahl des Kontos.

    Aber unter dem Strich ist mein Problem jetzt gelöst.

  6. Günter Born sagt:

    Nachtrag: Einen interessanten Beitrag mit rechtlichen Betrachtungen zu Kontensperrungen durch Amazon.de hat heise.de hier veröffentlicht.

Schreibe einen Kommentar zu Marc Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.