Das Kundenlogin von Amazon weist eine Sicherheitslücke auf. Wer in bestimmten Fällen zum Anmelden sein richtiges Passwort eintippt, danach jedoch noch eine beliebige Zeichenkombination eingibt, kann dennoch auf sein Konto zugreifen. Aufgefallen war das zunächst Lesern von heise. Der WebStandard konnte den Fehler reproduzieren.

Acht Zeichen

Bei der heise-Redaktion funktionierte das Login auch in einem Fall, wo das Passwort zu kurz eingegeben wurde – acht statt elf Zeichen. Als Hintergrund wird vermutet, dass bei Amazon bei älteren Passwörtern nur die ersten acht Stellen gespeichert sind. Denn genau diese Länge weisen die Passwörter auf, bei denen der Fehler auftritt. Bei kürzeren und jüngeren Passwörtern scheint das falsche Login nicht zu funktionieren.

Mehrere Landesseiten betroffen

Wie es zu dem Fehler kommen kann, ist nicht klar. Dem Bericht zufolge sind neben der deutschen Website auch die Seiten von Amazon Frankreich, Großbritannien und USA betroffen. Die Landesseiten greifen auf die gleichen Datenbanken für die Passwörter zurück. Bei der japanischen Website ist das offenbar nicht der Fall. Laut heise hat es bereits früher ähnliche Probleme mit acht Zeichen langen Amazon-Passwörtern gegeben.

Passwort wechseln

Amazon-Kunden wird inzwischen empfohlen, auszuprobieren ob ihre Passwörter betroffen sind, indem man beispielsweise das richtige Passwort um "123" verlängert oder längere Zeichenfolgen auf acht Zeichen reduziert. Wer die Sicherheitslücke nachvollziehen kann, sollte sein Passwort ändern.  Seitens des Unternehmens gibt es vorerst keine Stellungnahme dazu. (red, derStandard.at, 8.8.2013)