Amazon.de wurde anscheinend gehackt anhand einer ganz simplen Sicherheitslücke

Hallo,
von wegen keine Sicherheitslücke im System, dann frag ich mich wie sonst so etwas (siehe untenstehend) möglich sein sollte?

Hat doch einer mit meinem E-Mail-Account Gutscheine auf meine Kosten bestellt und sie anscheinend an sich selbst geschickt.

Außerdem kann man für kurze Zeit auch eine Scheinadresse an der man Waren erhält angeben die man dann wieder auflöst.
Denke mal die Betrüger sind schneller in anlegen und auflösen als die Behörden in ermitteln.

Gruß
Andrea

Antwort von Amazon:
--------------------------

Subject: Ihre Anfrage bei Amazon.de
Date: Wed, 19. Jul 2006
From: "Kundenservice Amazon.de" <bestellstatus-antwort@amazon.de>

Guten Tag Frau XYZ,

vielen Dank für Ihr Schreiben an Amazon.de.

Leider gab es bei dieser Gutscheinbestellungen Unregelmäßigkeiten.
Die Gutscheincodes ist daher nicht gültig.

Wir gehen dieser Angelegenheit intern nach, da es sich offensichtlich um einen Missbrauchsfall handelt.

Die Gutscheine sind jedenfalls nicht einlösbar, und die betreffenden Kundenkonten wurden von uns bereits gesperrt.

Eine Sicherheitslücke besteht hier nicht. Sobald die Gutscheine eingelöst worden wären, hätte der Besteller der Ware Spuren seiner Identität hinterlassen müssen. Wir arbeiten in solchen Fällen eng mit den Behörden zusammen.

Vielen Dank für Ihren Hinweis. Ich hoffe, ich konnte Sie etwas beruhigen.

Ich wünsche Ihnen noch einen schönen Tag!

Meine Mitteilung an amazon:
-------------------------------

07/19/06 13:44:56
Ihr Name: XYZ Andrea
Bemerkungen:WICHTIG! Diese Gutscheine dürfen NICHT eingelöst werden!!!!!

Sehr geehrte Damen und Herren,
habe heute folgende Bestellbestätigungen erhalten:

19.07.2006 08:40
Von bestellbestaetigung@amazon.de » An a@xyz.de
Betreff Ihre Bestellung bei Amazon.de (#bestnr-xyz)

19.07.2006 08:42
Von bestellbestaetigung@amazon.de » An b@xyz.de
Betreff Ihre Bestellung bei Amazon.de (#bestnr-xyz)

19.07.2006 08:44
Von bestellbestaetigung@amazon.de » An c@xyz.de
Betreff Ihre Bestellung bei Amazon.de (#bestnr-xyz)

Hierzu möchte ich anmerken:
Ich habe heute bei Ihnen NICHTS bestellt, weder Ware noch Gutscheine.
Ich habe die e-mail Adresse webmaster@xyz.de oder einkauf@xyz.de bei Ihnen angegeben und bestimmt NICHT a@xyz.de, b@xyz.de oder c@xyz.de.
Diese E-Mails bekam ich weil ich Inhaber der Domän xyz.de bin.

Ich bin NICHT Empfänger der Gutscheine im Wert von 80,-- Euro.
Empfänger ist:
---
Der Gutschein wird versendet an: expedianersgt1@web.de
---
Diese E-Mail-Adresse kenn ich nicht.

Ich weiß nicht was hier schief gelaufen ist, aber ich bitte Sie diese Bestellungen zu stornieren und evtl. zu eruieren ob Sie nicht eine
Sicherheitslücke im System haben oder wie soll ich mir sonst diese Bestellbestätigungen erklären?.

Vielen Dank und mit freundlichen Grüßen
Andrea XYZ

 

Wo bei einer Mail-Adresse AMAZON draufsteht, muss nicht AMAZON dahinterstehen (kann man fälschen). Im günstigsten Fall ist es nur Spam (sollte man schlicht löschen), im schlechtesten Fall eine Phishing-Attacke. Du hast doch nicht etwa (nach dem 1-ten Wutanfall) deine Konten-Daten durch die Gegend geschickt?

Bei dringenden Rückfragen (zB. Ware kommt an) Kontakt nur über die offizielle Web-Site aufnehmen oder POT (plain-old-telefone).

 

Nein, die E-Mails waren tatsächlich von Amazon.
Ich habe natürlich über die Web-Site und auch telefonisch sofort mit amazon Kontakt aufgenommen.

Anscheinend ist es so, dass momentan sich dort jeder mit "irgendeiner" e-mail-Adresse ein Kundenkonto eröffnen kann ohne die erforderlichen Sicherheitsabfragen.
Jedenfalls hat dort einer mit a@xyz.de, b@xyz.de und c@xyz.de drei Kundenkonten eröffnet.
Ich bin Inhaber der Domän xyz.
Habe aber nie eine Mitteilung darüber bekommen, dass unter meiner Domän (bzw. E-Mail-Adresse) bei Amazon ein Kundenkonto eröffnet wurde.

Dann wurde unter diesen Kundenkonten Gutscheine bestellt, deren Bestellbestätigung und Rechnung natürlich an den Inhaber von xyz.de gingen (das waren die Bestellbestätigungen die ich erhalten habe).

Die Gutscheine wurden an eine E-Mail-Adresse geschickt die wahrscheinlich nur für diesen Zweck generiert wurde.

Gut, Amazon hat dies nun schnell genug gemerkt und die Gutschein-Codes gesperrt, aber wenn dies jemand im weniger großen Stil macht, dann fällt das gar nicht so auf und jemand kann dann schnell die Gutscheine einlösen, Waren bestellen an eine Adresse, die z.B. auch nur eine Woche existiert.

Damit kann man innerhalb einer Woche ne Menge Kohle (bzw. Waren) machen.

Gruß
Andrea

PS: Ich bin nur froh dass ich meinen privaten E-Mail-Account zweimal am Tag checke.

 

<ot>...und sowas wird nicht genutzt. </ot>

 

Versteh ich jetzt nicht ?!?
Andrea