Datenleck im Amazon Seller Central

Vor rund 4 bis 5 Wochen habe ich durch Chris und Miro mitbekommen, dass ihr Verkäuferkonto bei Amazon “gehackt” wurde. Solche Einzelschicksale lassen mich eigentlich völlig kalt, weil es gibt viele Möglichkeiten ein Online Konto zu übernehmen. Chris war im Urlaub und meinte zu mir, irgendjemand in der Firma hätte wohl eine Pishing-Mail geöffnet, wodurch die Angreifer an die Zugangsdaten gekommen wären. Ich habe seine Information mal so genommen wie sie war und mir weiter darüber keine Gedanken gemacht. Heute hat sich das Blatt aber gewendet.

amazon-seller-central-mozilla-firefox_169

Ich war gerade dabei die Dokumentation für meinen benutzerdefinierten Seitentyp zu schreiben und gedanklich auch ganz wo anders. Zum Testen hatte ich mir ganz gezielt eine ASIN eines Privat Labels gezogen, um damit dann das Layout für die Präsentation der Produkte mit Verknüpfung zum Amazon Partnerprogramm zu gestalten. Beim betrachten des Artikels ist mir aufgefallen, dass dort keine Artikelmerkmale gepflegt wurden. Nun kenne ich den Händler, ich weiß welche Lösung er verwendet und konnte mir daher nicht vorstellen, das dies so auch gewollt war. Schon gar nicht bei einem Artikel der nicht gerade günstig ist.

Ich schrieb in also per Facebook Messenger an und fragte völlig naiv, ob das so gewollt ist. Die Antwort hat mich dann etwas überrascht. Auch hier haben Kriminelle den Amazon Account übernommen und gleich die Bankverbindung geändert. Nun schätze ich gerade diesen Händler so ein, dass er über eine sehr gute IT-Abteilung verfügt und das dort nicht unbedingt eine Pishing Mail für die Konto-Übernahme als Ursache in Frage kommt. Noch dazu kam auch hier der direkte Hinweis, die Kontodaten durch einen direkten Angriff auf die Online-Dienste von Amazon, in die Hände der Angreifer gelangt ist. WAU!

Vorsicht ist die Mutter der Porzellankiste! Kann ich dieser Information glauben? Machen wir mal die Probe aufs Exempel und schreiben mal kackfrech den Heise-Verlag an:

Hallo liebe Heise Redaktion,
ich bekomme vermehrt Informationen, das Amazon Marktplatz Accounts übernommen wurden und die Transaktionen (Verkäufe) umgeleitet wurden. Laut meiner Informationen wurde hier direkt das Amazon Seller Central Portal angegriffen.
Mit den besten Grüßen

Die Antwort kam nach fünf Minuten

Salü,
ich bitte um etwas Geduld bis zum Freitag: Da erscheint die c’t 24 mit
einem Hintergrundbericht zu den Vorkomnissen bei Amazon…
Beste Grüße

Bingo – das war mal ein Treffer mitten ins Schwarze. Irgendwie ist an mir vorgegangen (ich lese ja auch nicht die Bildzeitung), dass um den 15. August 2016 gezielt die Konten von Amazon-Händlern gehackt wurden und anschließend deren Ware zu absurden Preisen angeboten wurden. Die Sache ist für deswegen so brisant, weil ich nirgendwo herausbekommen konnte, wie tief die Angreifer in die Systeme von Amazon gelangt sind und welche Daten Sie dort abfischen konnten. Selbst auf der Seite vom Händlerbund Amazon Watchblog konnte ich noch keine Stellungnahme Amazons dazu entnehmen https://www.amazon-watchblog.de/marktplatz/704-gezielte-hackerangriffe-amazon-marketplace-haendler.html

In jedem Fall kann ich jedem Händler bei Amazon nur Raten alle 30 Tage dort selbstständig die Zugangsdaten zu ändern, um es Angreifern so schwer wie möglich zu machen, Zugang zum Seller Central Account zu erhalten.

Nun kenne ich viele kleine Online Händler, die auch auf Amazon verkaufen, persönlich. Ich kenne auch manchen Partner, der diese Händler und seine Systeme betreut. Und was soll ich jetzt sagen, besser schreiben? Gelinde gesagt, sprechen wir hier von einer mittelschweren Katastrophe und ich würde mir als Kunde dreimal überlegen, ob ich so einem meine persönlichen Daten anvertraue – Trusted Shop Siegel hin oder her. Sicher sind dort meine Daten in keinem Fall.

Mein Mitleid für diese Online-Junkies, die leichtes Opfer krimineller Subjekte waren, hält sich also sehr in Grenzen. Es wundert mich eher, das der so mancher die Vorfälle scheinbar unbeschadet übersteht und fröhlich weitermacht wie vorher:

  • Einmal gehackt – egal, wir wechseln das Shop-System.
  • Zweimal gehackt – auch egal, dann ändern wir halt mal notgedrungen das Passwort.
  • Dreimal gehackt – erst recht egal, es sind ja immer die bösen Hacker schuld.

Bei so viel Fahrlässigkeit wundert mich rein gar nichts mehr. Noch nicht einmal, das es sich Amazon offensichtlich leisten kann, seine Marktplatzhändler auf dem Schaden sitzen zu lassen. Was soll Amazon auch passieren? Sie können ja jederzeit den Händlern nachweisen, dass sie selbst grob fahrlässig gehandelt haben. Eine etwaige Schadensersatzklage scheidet damit schon im Ansatz aus.

Gerade aber das Thema IT-Sicherheit und Datensicherheit sollten Online-Händler aber nicht auf die leichte Schulter nehmen. Beim nächsten mal kommt der Händler eben nicht mehr mit einem blauen Auge davon und es geht ihm ans Eingemachte – nämlich sein Existenz. Und wer jetzt mit dem Argument kommt, das könne er sich nicht leisten – ich kenne für die eine hervorragende Alternative: Tomaten züchten!

Daran wird auch nichts der Hintergrundbericht in der neuen c‘t ändern. Ach Gott, da wurden Amazon Händler Konten von Betrügern gehackt. Na so was aber auch! Diese schlimmen Hacker, die so was machen. Nicht zu glauben, was die so alles machen.

Ihr lieben Dummys und DAUs – wenn ihr euch nicht so saublöd anstellen würdet und mal eure grauen Zellen benutzen würdet, dann hätten es diese Script-Kiddys auch nicht so leicht, eure Amazon, eBay, Google und ich weiß nicht was für Konten noch, einfach mal so eben zu Kapern. Nur so zur Erinnerung – im Netz schwirren 3.000.000.000, in Worten 3 Milliarden, Zugangsdaten für jeden Hobby-Hacker zugänglich herum. Da würde mein Arsch aber so etwas von auf Grundeis gehen – Aber was soll mir schon groß passieren.

Kleiner Nachtrag noch – aus den Reaktionen aus meiner JTL User Community sollte man sich dreimal überlegen, ob man in einem Webshop bestellt, der nur ansatzweise danach riecht mit JTL-Shop erstellt worden zu sein. Ich kann hier keine Gewähr dafür geben, das dort eure persönlichen Daten auch wirklich sicher sind. Die dummen Sprüche, die ich dort gelesen habe, lassen den Rückschluss zu, das dort die Themen Datensicherheit, Datenschutz und IT-Sicherheit mehr als nur lax gehandhabt werden. Eigentlich für mich ein Grund diesen Shops auch die Gütesiegel zu entziehen – aber die meisten kaufen ja eh bei den großen Shops ein.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.