Amazon: Rücksetzung des Passwortes, wenn Kunde in öffentlich zugänglicher Datenbank auftaucht
Die Tage habe ich eine Mail unseres Lesers Martin bekommen. Sie beinhaltet ein Anschreiben von Amazon und dreht sich um Passwörter. In der heutigen Zeit ist man da sicherlich etwas vorsichtiger, vor einigen Tagen schrieb ich ja bereits über die vermehrten E-Mails, die angeblich von PayPal oder Amazon kommen sollen – es aber nicht tun. Phishing-Mails sind an der Tagesordnung und so sollten wir also sensibilisiert sein. Was in den letzten Jahren auch immer mehr zunahm, das sind die Angriffe auf Dienstleister. Hier wurden schon oft Datenbanken erbeutet, teilweise auch mit Daten, die im Klartext vorlagen. Schlecht für Nutzer, denn deren Mail-Adresse ist so oftmals als gültig für Angriffe deklariert, zudem sind bei Angriffen auch schon oft Passwörter in die Hände der bösen Buben gekommen.
Die Datensätze werden vertickt – oder sind teilweise für jedermann im Netz herunterladbar. Diese Tatsache machen sich auch Anbieter selbst zu Nutze, so gibt es diverse Dienste, die euch warnen, wenn eure Daten irgendwo auftauchen. Auch Amazon nutzt frei verfügbare Datenbanken um seine Kunden zu schützen. Das ist nicht neu, ich will es aber mal in einem Beitrag erwähnt wissen, da es sich um keine Phishing-Mail handelt, die unser Leser Martin bekam. Erlangt Amazon Kenntnis, dass der Datensatz eines Kunden zugänglich ist, so wird dieser informiert, sein Passwort vorsorglich zurückgesetzt. Wie erwähnt: nichts Neues, dennoch hier einmal der Inhalt und der Aufbau einer solchen Mail. Amazon setzt das Passwort zurück, selbst wenn die Liste in keinem Zusammenhang zu Amazon steht, ganz einfach weil man davon ausgeht, dass viele Menschen das identische Passwort bei mehreren Diensten verwenden – und so ist es ja leider oft auch.
[color-box color=“blue“ rounded=“1″]Guten Tag Martin …,
Bei Amazon.de nehmen wir die Sicherheit Ihrer Daten und Ihre Privatsphäre sehr ernst. Im Rahmen einer Routineüberprüfung haben wir im Internet eine Liste mit E-Mail-Adressen und dazugehörigen Passwörtern entdeckt. Diese Liste steht zwar in keinerlei Verbindung zu Amazon, aber wir wissen, dass viele Kunden die gleichen Passwörter auf verschiedenen Websites verwenden. Wir glauben, dass sich Ihre E-Mail-Adresse und Ihr Passwort auf der im Internet veröffentlichten Liste befanden und haben deshalb Ihr Amazon.de-Passwort als Vorsichtsmaßnahme zurückgesetzt. Wir entschuldigen uns für eventuelle Unannehmlichkeiten, aber wir wollen Sie und Ihr Amazon.de-Kundenkonto mit dieser Maßnahme schützen.
Um wieder Zugang zu Ihrem Kundenkonto zu erhalten, gehen Sie bitte wie folgt vor:
1. Besuchen Sie unsere Website (www.amazon.de) und klicken Sie oben rechts auf den Link “Mein Konto”.
2. Klicken Sie unter “Einstellungen“ auf den Link “Passwort vergessen?”.
3. Befolgen Sie die Anweisungen zum Anlegen eines neuen Passworts für Ihr Kundenkonto.
Bitte wählen Sie ein neues Passwort, das sich von Ihrem alten Passwort bei Amazon.de unterscheidet. Wir empfehlen Ihnen, ein Passwort zu wählen, das Sie auf keinen anderen Websites verwenden.
Wir freuen uns auf Ihren nächsten Besuch bei Amazon.de.
Freundliche Grüße
[/color-box]
Das ist ziemlich gut, macht Evernote auch.
@Caschy
Kannst du mal Beispiele für diese Anbieter nennen?
„so gibt es diverse Dienste, die euch warnen, wenn eure Daten irgendwo auftauchen. „
Gut zu wissen wie eine echte, nicht Phishing-Mail aussieht. Der größte Unterschied: Es wird nicht auf Amazon verlinkt, man soll selbst die Seite aufrufen…
Amazon sollte doch auch gegen die eigene Datenbank prüfen können, ob dasselbe Passwort genutzt wurde. Die notwendigen Informationen müssen in jedem Fall vorliegen.
Wenn die E-Mail-Adresse gekapert ist, ist aber ohnehin alles verloren.
einige Formulierungen sind von amazon aber unglücklich gewählt. Woher WISSEN sie denn, dass Kunden die gleichen Passwörter bei mehreren Diensten nutzen. Oder wieso GLAUBEN sie, dass meine Emailadresse mit auf der Liste war.
Da bin ich mal gespannt,wie häufig amazon mir mein Passwort demnächst resettet. Meine Adressdaten sind gefühlte Ewigkeiten im Netz und meine Emailadresse war lange Zeit auch immer die gleiche…
Ich hab momentan das Problem, dass ich keine 2-F-Auth-SMS mehr von Amazon erhalte (Sim von simyo und Handy sind nicht das Problem, soviel ist sicher). Ohne meine OTP-App aufm alten iPad 2 wär ich also am Arsch.
Sehr gut – wusste ich bisher auch noch nicht. Dazu noch die 2-Factor Authenticaton plus Brain immer mit mindestens 90% laufen lassen. 🙂
Mich nervt das. Ich habe auf Amazon ein Passwort, das ich nach einem eigenen System erstellt habe und garantiert nirgendwo anders verwende – und jetzt soll ich es ändern? Gibt es denn einen Weg, das „alte“ Passwort beizubehalten?
Dieselbe Mail bekam ich vor ein paar Tagen von Amazon auch und habe dann das Passwort zurückgesetzt. Da ich aber üblicherweise mit meiner primären Mail-Adresse sehr vorsichtig umgehe und diese auch nicht überall verwende, halte ich die Mail von Amazon eigentlich für ziemlichen Quatsch. Mir ist von keiner „Datenbank“ bekannt, die irgendwie „gehackt“ worden sein soll und in der meine primäre Mail-Adresse gespeichert ist.
Na, falls ich so eine Mail bekomme, dann darf Amazon erklären wie das passieren konnte. Meine E-Mail-Adresse bei Amazon ist nämlich nur bei Amazon registriert, sie wären dann selber die Lücke.
Warum Amazon für mich das Pw zurücksetzt, statt mich nur drauf aufmerksam zu machen, soll einer verstehen.
Sollten vielleicht besser mal drüber nachdenken, warum „Sie sind nicht Barack Obama? Abmelden“ eine ziemlich bescheuerte Möglichkeit zum Abmelden ist.
Ich hab die Mail auch bekommen, auf eine Emailadresse die ich vor 7 Jahren bei Amazon benutzt habe, aber damals gegen eine andere geändert hatte. Dazu wurde bei mir das Passwort auch nicht zurückgesetzt, war dann doch schon sehr irritierend…
Solltet ihr so eine Mail bekommen haben, trotzdem genau hinschaun. Ich habe grade eine Ähnliche bekommen, mit dem Hinweis mein Konto wäre gesperrt wegen ungewöhnlicher Aktivität. In dem Fall Lieferadressänderung. Geschickt allerdings von meinvermoegenwachst78@online.de… Die Mail selbst sieht auf den ersten Blick ganz ok aus. Also nicht alles anklicken. 🙂
@Chris: Ich glaube, du hast es nicht verstanden. So ein Email bekommst du nur, wenn Amazon auf einer illegalen Verkaufsliste deine Email und Pwt gefunden hat. In diesem Fall wurde dir dein einzigartiges Passwort auf irgendeine weise geklaut. Wenn du dein altes Passwort behältst, so können diese Zugangsdaten zu deinem Konto weiterhin von Fremden verwendet werden.
An sich sehr löblich, aber die pure Ähnlichkeit zu Phishingmails (wobei es eigentlich umgekehrt ist) würde bei vielen wahrscheinlich schon dazu führen, die Mail ungelesen zu löschen.
Ich wüsste jetzt aber auch nicht, wie man das besser machen sollte.
Vielleicht so: Amazon resettet selbst das Passwort und zwingt den Kunden dadurch, mit der Passwort-vergessen-Funktion ein neues (hoffentlich nicht wieder das alte) zu setzen. An dieser Stelle könnte man dann auch einen Hinweistext auf der Website anzeigen lassen, der dann erklärt, was passiert ist.
Sowas macht sich öffentlich natürlich nicht ganz so gut wie eine unauffällige Mail…
Äh…vergesst das. So machen die das ja…war wohl etwas abgelenkt von der Arbeit.
Vor allem sollte man dann auch mal sein email Passwort ändern.
(Sollte man sowieso immer mal wieder tun mit allen Passwörtern.)
Man sollte sein Passwort eh mehrmals im Jahr ändern.
Man kann seine eigene Mailadresse auch selber checken, ob die geleakt wurde, diese Seite z.b. ist seriös (HPI gehört zur Uni Potsdam):
https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de
@Dennis der umfangreichste und seriöseste ist Have I been Pwned? (https://haveibeenpwned.com/). Ist auch immer sehr interessant, den Blog des Schaffers dieser Site, Troy Hunt, zu lesen: https://www.troyhunt.com/