Unsichere Passwort-Abfrage bei Amazon
Laut Medienberichten tritt bei der Passwortüberprüfung von Amazon-Konten aktuell eine gravierende Sicherheitslücke auf. So soll das Versandhaus die Passwörter seiner Kunden nur unvollständig speichern, wodurch eine Anmeldung mit falschen Kontozugängen möglich ist.
Dies berichtet das Nachrichtenportal heise.de unter Berufung auf eigene Untersuchungen. So konnte das Problem bei vier von 30 Nutzerkonten reproduziert werden.
Es stellte sich heraus, dass Amazon anscheinend nur die ersten acht Zeichen eines Passwortes abspeichert, womit auf ein Kundenkonto auch dann zugegriffen werden kann, wenn Unbefugte lediglich die ersten acht Zeichen eines Passwortes kennen. Auch die gegenteilige Methode zeigte Erfolg: Wurden bei Passwörtern mit exakt acht Zeichen weitere angefügt, war ein Anmelden ebenfalls erfolgreich.
Die Pressestelle von Amazon blieb auch nach mehrmaligem Anfragen durch heise.de eine Antwort schuldig, womit über das Problem nur Mutmaßungen angestellt werden können. Im günstigsten Fall wurde bei Amazon bei einigen Passwörtern lediglich ein Hash-Wert aus den ersten acht Zeichen erstellt, andernfalls könnten diese auch im Klartext gespeichert sein. Passwörter mit weniger Buchstaben waren hingegen von der Sicherheitslücke anscheinend nicht betroffen. Eventuell könnte es auch Unterschiede im Alter der Konten geben: Die Problem-Passwörter waren schon seit längerem in Benutzung, neuere Konten oder vor geraumer Zeit geänderte Passwörter wiesen das Problem hingegen nicht auf.
Zudem scheint nicht nur die deutsche Internetpräsenz von Amazon betroffen zu sein, Amazon.fr, Amazon.co.uk und Amazon.com weisen die gleiche Problematik auf. Somit besteht der Verdacht, dass diese auf eine gemeinsame Datenbank zurückgreifen. Die japanische Präsenz Amazon.co.jp ist hingegen nicht betroffen.
Heise.de empfiehlt allen Benutzern, ihr aktuelles Passwort auf die Sicherheitslücke hin zu überprüfen, in dem bei Passwörtern mit exakt acht Zeichen weitere Zeichen angehängt oder bei Passwörtern mit mehr als acht Zeichen alle Zeichen bis auf diese weggelassen werden. In unserer Redaktion konnte die Sicherheitslücke nicht reproduziert werden.