Mysteriöse Datenpanne: Amazon schweigt, Experten rätseln
Das ist eine ziemlich heftige Datenpanne bei Amazon: Die Namen und Mail-Adressen von Amazon-Kunden waren unverschlüsselt und öffentlich einsehbar. Doch es sind viele Fragen offen: Wie viele Kunden sind betroffen? Was ist der Grund für die Datenpanne? Gibt es Konsequenzen? Das sind wichtige Dinge für die Kunden. Und Amazon? Hält sich bedeckt.
"Wir kontaktieren Sie, um Sie darüber zu informieren, dass aufgrund eines technischen Fehlers versehentlich Ihre E-Mail-Adresse und Ihr Name auf unserer Website angezeigt wurden." Diese Nachricht erhielten die betroffenen Kunden von Amazon. Allerdings sei es nicht notwendig, das Amazon-Passwort zu ändern. Verwunderlich, denn auch wenn "nur" Klarnamen und Mail-Adressen öffentlich einsehbar waren, wäre es doch angeraten, das Passwort schon als Vorsichtsmaßnahme zu ändern.
Abseits dieser Meldung hat Amazon zur der aktuellen Panne bisher geschwiegen, und so lässt sich kaum beurteilen, wie schwerwiegend die Angelegenheit tatsächlich ist. Wie The Register meldet, stufte eine britische Support-Abteilung die Amazon-Nachricht gar als Phishing ein. Doch sie ist echt, wie Amazon bestätigt. Gegenüber heise gab es ein dürres Statement: "Wir haben das Problem behoben und die Kunden informiert, die möglicherweise betroffen waren". Das war's.
Aufklärung wäre angeraten
Bei solchen Datenlecks, vor allem bei einem der größten Online-Shops der Welt, ist es wichtig, die Kunden ordentlich zu informieren, um Zweifel an der Sicherheit zu zerstreuen. Bei Amazon liest man schließlich nicht nur seine Mails, sondern kauft ein, hat also Zahlungsinformationen, Postadressen und ähnliche höchst sensible Daten hinterlegt. Wenn schon Namen und Mail-Adressen offen zugänglich sind, besteht die berechtigte Sorge, dass vielleicht noch mehr im Argen liegt. Gerade zum Shopping-Marathon Black Friday und Cyber Monday kann Amazon eine Unsicherheit bei den Kunden nicht gebrauchen. Aufklärung wäre also sicher auch im eigenen Sinne.
Habt Ihr auch eine solche Mitteilung von Amazon bekommen?
Quelle: The Register, heise, Golem
da bekommt "Black Friday" eine völlig neue Bedeutung ;-)
Sieht nach einer schwarzen Woche für Amazon aus 🙄
Das klingt aber sehr nach Schwarzmalerei. ;D
Zuerst hieß es Amazon wird untergehen, und jetzt diese Datenpanne und heute ist Black Friday 😀😅. Passt ja gut zusammen schwarze Woche.
Das zeigt uns wieder das das Internet nicht sicher ist.
Natürlich nicht. Das Internet baut auf Vertrauen. Denn wirklich verstehen tun doch die absolut wenigsten diese Technik. Mache können damit toll umgehen, von mir aus programmieren. Soll er mir aber nicht erzählen, er kennt die physikalischen Gesetzmäßigkeiten dahinter. Bei einem Auto weiß ich, warum es fährt, wie der Motor funktioniert. Aber das Internet?
Haha, Nein! Die physikalischen Prinzipien des Internets sind der leichte Teil, das schwierige fängt dort an wo verschiedene Menschen aneinandergeraten, und sei es nur der Anwender und der Programmierer, da müssen alle ständig neue fremde denkmuster akzeptieren.... nichtsdestotrotz stimmt ihre Aussage das Internet basiert auf vertrauen absolut. Das tut das Real Life aber auch!
Was ist schon sicher? Was von Menschenhand geschaffen wurde, kann von Menschenhand auch wieder geknackt oder zerstört werden. Abgesehen ist es so, dass häufig mehrere Programmierer/Scripter an einem Projekt arbeiten und man so schnell die Übersicht verliert. So schleichen sich dann die Fehler ein, vor allem dann, wenn einer der Kollegen nicht ganz sauber arbeitet oder sicherheitstechnisch weit zurückliegt.
"Wir haben das Problem behoben und die Kunden informiert, die möglicherweise betroffen waren"
Das is doch als Statement auch voellig ausreichend. Mehr als sich vielleicht andere abringen.
Lustig finde ich, dass viele bei derartigen Pannen Aufklärung und detaillierte Information fordern, was da nun dahintersteckt. Würden sie diese jedoch tatsächlich erhalten, würde sie aber vermutlich nur von wenigen tatsächlich verstanden werden ("ähm, das ist mir jetzt zu technisch... HTTP-Header was?").
Natürlich wäre irgendso ein Mittelding "aus Anwendersicht" wohl beruhigender, unter dem der Anwender sich etwas vorstellen kann, damit er zumindest ein gutes Gefühl hat (in der Art "auf der Webseite X war dort, wo sonst nur ein Pseudonym steht, der volle Name und die hinterlegte Mailadresse des Nutzers zu sehen". Auch wenn daraus an sich nicht hervorgeht, warum das so passierte - "also unser ContentManagementSystem setzt..." -, welche Folgen die Lücke potentiell hatte - "wenn nun jemand einen manipulierten HTTP-Request mit xy im Header..., dann ..., aber...", und der Anwender eigentlich nicht wirklich weiss was genau da los war, so fühlt er sich doch beruhigt. Mehr als vielleicht bei einem "kein Grund zur Sorge, wir haben alles im Griff, einen schönen Tag noch").
Soweit mir bekannt handelte es sich um einen "Darstellungsfehler" im Bereich der Produkt- und/oder Händler-Bewertungen - statt nur einem Alias wurden Klarname und teilweise Mail-Adresse auf der Seite angezeigt. Datenleck ist insofern zwar richtig, als dass unbeabsichtigt private Daten öffentlich zugänglich gemacht wurden. Aber der Tipp das Passwort zu ändern und die Panik hier ist übertrieben. Ich vermute die Schweigsamkeit seitens Amazon liegt darin begründet, dass ein sehr offensichtlicher und einfacher technischer Template Fehler - wahrscheinlich mehrere - automatisierte Test-Stufen und mindestens zwei Code-Reviews (alles andere wäre bei so einer Seite noch peinlicher und würde zu viel mehr Fehlern führen als man es bei Amazon beobachten kann) problemlos überstanden hat und einfach ein paar Mitarbeiter im falschen Moment nicht genau genug gearbeitet haben.