Thema: Amazon diverses ...

[ritschibie]

Vorsicht Phishing: Kunden des deutschen Online-Versandhändlers Amazon werden aktuell von Betrügern angepeilt, die in den Besitz von Kontodaten gelangen wollen.

Mit täuschend echt aufgemachten Mails, in denen sogar der korrekte Name des Adressaten auftauchen kann, gehen die Phisher nach altbekanntem Muster vor: amazon_logoAngeblich wurde das Amazon-Konto von Dritten
missbraucht, müsse nun verifiziert werden, sonst drohe eine Löschung innerhalb von 48 Stunden.

Passend dazu ist auch gleich der Link http://amazon.de/verifizierung angegeben, der allerdings auf die Adresse http://145100.webhosting53.1blu.de/ verweist - dort wartet eine professionell gefälschte Seite auf ahnungslose Opfer.

Firefox-Nutzer können diese URL übrigens nicht mehr ansurfen, sofern die Sicherheitseinstellungen des Browsers nicht geändert wurden. Die Web-Site wurde bereits als betrügerisch gemeldet und ist deshalb blockiert, für den Internet Explorer oder Opera gilt das nicht.

Surfer sollten generell auf Mails in der genannten Form nicht reagieren. Die Gefahr eines Missbrauchs ist vor allem bei aktiven Links in Mails sehr hoch. Das stört allerdings viele Unternehmen noch nicht - dazu gehört unter anderem der Kreditkartenanbieter American Express, der seiner Kundschaft einmal im Monat einen Hinweis auf die Kartenabrechnung per Link in einer zugeschickten Mail offeriert. Ein gefundenes Fressen für Betrüger: Werden ähnliche Mails von Kriminellen verschickt, in der ein Link auf einen fremden Server verweist, dürfte zumindest ein Teil der Rezipienten unfreiwillig ihre Log-In-Daten verraten.



Quelle: http://www.satundkabel.de

[SiLæncer]

Die Amazon Shopping-Community BuyVIP mit 6 Millionen Nutzern ist gehackt worden. Das Unternehmen hat Kunden per E-Mail über den Einbruch informiert.

Die europäische Shopping-Community BuyVIP ist gehackt worden. Das gab das Amazon-Tochterunternehmen in einer E-Mail an seine Kunden bekannt. "Wir möchten dich darüber informieren, dass es möglicherweise zu einem nicht autorisierten Zugriff auf einige Deiner BuyVIP Kundendaten einschließlich Name, E-Mail-Adresse, Versandadresse, Geburtsdatum, Telefonnummer sowie dem geschützten Passwort gekommen ist."

Zahlungsinformationen, einschließlich Kreditkartendaten seien nicht betroffen, hieß es weiter. Die Passwörter seien in verschlüsselter Form abgespeichert gewesen. Amazon rät seinen Kunden dennoch, dass Passwort zu ändern. Die Amazon-Tochter machte keine Angaben dazu, wie viele Kunden von dem Angriff betroffen sind.

Amazon hatte im Oktober 2010 eine Vereinbarung für den Kauf der Shoppingcommunity geschlossen. Das Unternehmen, das in Spanien, Deutschland und Italien aktiv ist, hat laut einem Bericht 96,5 Millionen US-Dollar gekostet.

BuyVIP verkauft stark ermäßigte Lagerbestände und Saisonausläufer von Luxusmarken wie Dolce & Gabbana, Louis Vuitton oder des Jeansherstellers Levi Strauss an die Mitglieder. Nach einem Umsatz von 60 Millionen Euro im Jahr 2009 wurden für 2010 nun 130 Millionen Euro erwartet.

Anbieter von Luxusmarken sind darauf bedacht, durch Billigverkäufe keinen Imageschaden zu erleiden. Die in der virtuellen Einkaufsgemeinschaft verbilligt verkaufte Ware taucht deshalb nicht in Preissuchmaschinen auf. Der Anschein der Exklusivität wird gewahrt, indem nur von Mitgliedern Eingeladene dem Einkaufsklub beitreten können. Die Verkaufsaktionen sind oft nur ein oder zwei Tage angelegt und werden oft schon früher beendet. BuyVIP tritt gegenüber den Markenbesitzern als Großeinkäufer auf. Das Unternehmen ist auch in Österreich, Polen, Portugal und den Niederlanden aktiv und hat nach eigenen Angaben 6 Millionen Nutzer.

Quelle : www.golem.de

[SiLæncer]

Bei einem Hackereinbruch bei der Amazon-Tochter Zappos haben sich Unbekannte Zugriff auf die persönlichen Daten der rund 24 Millionen registrierten US-Kunden verschafft, warnt das Unternehmen. Die Eindringlinge konnten nach Unternehmensangaben auf Namen, Mailadressen, Rechnungs- und Lieferadressen, Telefonnummern sowie die letzten vier Ziffern der Kreditkartennummern zugreifen. Zudem hatten die Täter Zugriff auf die Passwort-Hashes.

Ob die Hashes "gesalzen" waren, was das Herausfinden der dazugehörigen Passwörter erheblich erschweren würde, gab Zappos nicht bekannt. Das Unternehmen hat sämtliche Kundenpasswörter gesperrt und fordert seinen Kunden per Mail auf, über einen Link in der Mail ein neues Passwort zu setzen. Zudem sollen die Kunden ihre Passwörter bei allen Webdiensten ändern, für die sie das bei Zappos gespeicherte Passwort nutzen. Auf die Server, auf denen weitere Zahlungsinformationen und die vollständigen Kreditkartennummern hinterlegt sind, konnten die Täter nach Unternehmensangaben nicht zugreifen.

Das Unternehmen untersucht derzeit mit US-Ermittlungsbehörden die genaueren Umstände das Einbruchs. Amazon hat den Bekleidungsshop im Jahr 2009 für rund 850 Millionen Dollar übernommen.

Quelle : www.heise.de

[SiLæncer]

Die auf Amazon.com angezeigten Empfehlungen kann man leicht manipulieren, wie der Blogger Felix Middendorf demonstriert. Er hat eine Testseite aufgesetzt, die eine bestimmte Amazon-Produktseite in ein unsichtbares iFrame lädt. Aus Amazons Sicht sieht es so aus, als hätte der Kunde die Produktseite selbst abgerufen. Beim nächsten Besuch bei Amazon zeigt es der Online-Marktplatz dem Kunden direkt auf der Startseite an.

Werbetreibende könnten auf diese Weise gezielt die Produktempfehlungen bei Amazon manipulieren. Amazon könnte sich dagegen schützen, indem es im HTTP-Header die Angabe X-Frame-Options SAMEORIGIN mitsendet, wie es der deutsche Ableger bereits praktiziert. Dadurch ließe sich die Seite nur noch in Seiten mit der gleichen Basisadresse, also Amazon.com, einbetten.

Quelle : www.heise.de

[SiLæncer]

Auch die Produktempfehlungen von Amazon.de sind leicht manipulierbar, wie unser Leser Torben Gerkensmeyer herausgefunden hat: Bettet man in eine beliebige Webseite mittels IMG-Tag ein Bild ein, das auf eine Amazon-Produktseite verweist, ordnet Amazon dieses Produkt beim Öffnen der Seite dem Kundenprofil des Webseitenbesuchers zu.

Die ohne Zutun des Besuchers aufgerufenen Produkte werden ihm künftig etwa auf der Amazon-Startseite präsentiert. Man kann davon ausgehen, dass auch die Produktempfehlungen im automatisch erzeugten Amazon-Newsletter davon beeinflusst werden.

Darüber hinaus ist denkbar, dass sich Teilnehmer des Amazon-Partnerprogramms dadurch bereichern können, dass Sie an eine solche Anfrage ihre individuelle Partner-ID anhängen. Dadurch würde der Amazon-Partner die Provision für die vermeintliche erfolgreiche Vermittlung des Webseitenbesuchers einstreichen. Auf eine am gestrigen Montag gestellte Anfrage von heise Security hat Amazon bislang nicht reagiert.

Auch Amazon.com lässt sich auf diese Weise manipulieren. Vergangene Woche hatte ein Blogger eine ähnliche Methode gezeigt, bei der die Produktseite als unsichtbares iFrame eingebettet wird. Das funktionierte nur bei der US-amerikanischen Website, da Amazon.de die Header-Angabe X-Frame-Options SAMEORIGIN mitsendet. Dadurch blockiert der Browser auf fremden Seiten das Einbetten als Frame, was unter anderem Clickjacking-Angriffe erschwert. Inzwischen sendet auch Amazon.com die Header-Angabe mit, sodass der alte Manipulationsweg nicht mehr funktioniert. Gegen das Einbetten als Bild schützt der Header unterdessen nicht.

Quelle : www.heise.de

[SiLæncer]

Wer unaufgefordert eine Mail vom Amazon-Kundenservice erhält, muss ganz genau hinsehen: Abzocker versuchen derzeit mit nahezu perfekt gefälschten Mails, die Kreditkartendaten von Amazon-Kunden einzusammeln. Dabei haben es die Betrüger auch auf das "Verified by Visa"-Passwort und den Mastercard SecureCode abgesehen, wodurch die Opfer gegenüber ihrer Bank unter Umständen in Erklärungsnot geraten.

"Guten Tag, liebe Amazon Kunden! In den letzten Jahren ist die Zahl von Betrugsfällen auch bei Amazon nicht unbemerkt geblieben. Aus diesem Grunde rüsten wir unser Sicherheitssystem auf, um es den Betrügern unmöglich zu machen." – diese Sätze stammen nicht etwa von der Amazon-Kundenbetreuung, sondern von Betrügern, die ihren Teil zum Anstieg der Betrugsfälle beitragen wollen. Im nächsten Absatz fordern die Abzocker den Mailempfänger auf, seine Zahlungsdaten für das 3-D Secure genannte Bezahlverfahren mit dem Amazon-Konto zu verknüpfen. Erst dann könne man wieder wie gewohnt bei Amazon einkaufen.

Wer dem Link zum Eingabeformular folgt, landet auf einer professionell gestalteten Phishingseite, die unter der wohlklingenden URL payment.de-sicher.com erreichbar ist. Dort fragen die Abzocker zunächst nach den persönlichen Daten, der Bankverbindung und den Kreditkartendaten einschließlich dem "Verified by Visa"-Passwort respektive Mastercard SecureCode. Im nächsten Schritt werden dann auch noch die Amazon-Zugangsdaten abgefragt.

Bei der Erstellung der Seiten haben die Betrüger erschreckend viel Liebe zum Detail bewiesen. Die Seiten wurden anscheinend von einem Muttersprachler in fast fehlerfreiem Deutsch verfasst – eine falsche Schreibweise wie "im Vorraus" ist leicht zu übersehen. Zudem prüfen die Betrüger sogar die Konsistenz der eingegebenen Daten. Wer etwa eine frei erfundene Kreditkartennummer eingibt oder sich bei der Eingabe vertippt, bekommt beim Versuch, das Formular abzuschicken, eine Fehlermeldung. Dabei führt die Seite mit Hilfe einer JavaScript-Funktion einen sogenannten Parity Check durch – eine Prüfsummenberechnung, die auch etwa Betreiber von Onlineshops für eine erste Einschätzung nutzen. Erst mit einer korrekt berechneten Fantasienummer eines darauf spezialisierten Web-Dienstes gelang es schließlich, das Formular abzuschicken.

Fällt man auf die Masche rein, muss man damit rechnen, dass sich die Bank erst mal quer stellt. Die Eingabe von "Verified by Visa"-Passwort oder Mastercard Securecode in ein Phishing-Formular kann unter Umständen als Fahrlässigkeit des Kunden gewertet werden. Normalerweise öffnet sich bei diesen Bezahlverfahren ein Popup-Fenster, in dem sich das Gegenüber eindeutig zu erkennen gibt.

In der Vergangenheit versuchten Banken bereits, Kunden für betrügerische Transaktionen mit dem Mastercard SecureCode haftbar zu machen – entgegen der üblichen Regelung, dass das Risiko bei Kreditkartentransaktionen der Herausgeber trägt. Für eine kurzfristige Stellungnahme waren Visa und Mastercard nicht zu erreichen.

Quelle : www.heise.de

[ritschibie]

Als Ergebnis einer Zusammenarbeit internationaler Polizeibehörden ist es nun gelungen, einen mutmaßlichen Täter hinter Angriffen auf Amazon und andere Online-Händler im Jahr 2008 ausfindig zu machen und zu verhaften. Bei dem Mann handelt es sich um einen russischen Staatsbürger.

Wie der US-Staatsanwalt Jenny Durkan mitteilte, konnte der Verdächtige auf Zypern festgenommen werden. Dieser ist heute 25 Jahre alt. In Seattle im US-Bundesstaat Washington liegt bereits seit dem Mai des letzten Jahres eine Anklage gegen den mutmaßlichen Täter vor. Ihm werden neben den Angriffen auch andere Straftaten zur Last gelegt, berichtete die 'Seattle Times'.

So soll er im Oktober 2009 auch in einen Fall von Kreditkartenbetrug verwickelt sein. Die Anklage umfasst somit neben dem Punkt der Computersabotage auch den des Identitätsdiebstahls. Hierbei soll es um rund 28.000 Kreditkartennummern gegangen sein.

Bei den Angriffen auf Amazon, die Mitte 2008 stattfanden, wurde versucht, die Server zum Stillstand zu bringen, indem immer wieder in großer Zahl gezielt Seiten aufgerufen wurden, die große Bilder enthielten. Die Ermittler kamen dem Verdächtigen unter anderem dadurch auf die Spur, weil er versuchte in einschlägigen Online-Foren mit seinen Taten um Anerkennung zu werben. Außerdem soll er dem Anbieter Priceline.com, auf den ebenfalls angriffe gefahren wurden, Hilfe bei der Abwehr angeboten haben.

Gegen einen mutmaßlichen Komplizen läuft in den USA bereits ein Verfahren. Laut den dort vorliegenden Unterlagen sollen die beiden Verdächtigen auch Angriffe auf eBay versucht haben, die aber offenbar weniger erfolgreich waren.

Nach dem Vollzug eines internationalen Haftbefehls in Zypern haben die US-Behörden nun die Auslieferung beantragt. Für die Angriffe auf die Online-Händler droht nun eine Haftstrafe von bis zu zehn Jahren. Weitere zwei Jahre könnten durch die Ahndung des Identitätsdiebstahls hinzukommen.

Quelle: www.winfuture.de

[SiLæncer]

Bei der Nutzung von Amazons Marketplace, über den auch Drittanbieter ihre Waren auf der Handelsplattform präsentieren können, ist nach Angaben von Verbraucherschützern derzeit Vorsicht angesagt.

Neu registrierte Verkäufer sollen immer wieder in Wellen erscheinen und aktuelle Technik-Produkte wie 3D-Fernseher und Digitalkameras zu günstigen Preisen anbieten. Angelockt von den vermeintlichen Schnäppchen sollten Nutzer darauf achten, sich nicht von der Amazon-Plattform weglocken zu lassen, da diese im Zweifelsfall gute Schutzmechanismen bietet, teilte die Verbraucherzentrale Nordrhein-Westfalen mit.

"Was sich derzeit auf dem Marketplace von Amazon abspielt, sieht aus wie ein strategisch geplanter Dauerangriff von Trickbetrügern", teilte die Verbraucherzentrale mit. Dort wo auch Firmen und Privatleute ihre Neu- und Gebrauchtwaren anbieten, tauchen wellenartig Neuverkäufer mit top-aktuellen Geräten zu Spottpreisen auf. Von Apple bis Zeiss, von der Digitalkamera bis zum LED-TV reicht das Lock-Angebot.

Die Verkäufer wählen als Namen meist ihre Email-Adresse. Wer die vermeintlichen Super-Schnäppchen ordert, darf allerdings nicht mit der Auslieferung rechnen. Denn immer wieder stoppt Amazon die Kaufabwicklung. Etwa mit der wenig aussagekräftigen Begründung: "Ein kleines Problem mit Ihrer Bestellung" sei aufgetreten.

Enttäuschte Kunden, die sich daraufhin direkt per Email bei einem der Verkäufer melden, bekommen die Aufforderung: "Senden Sie mir Ihren vollständigen Namen und Lieferadresse." Das sollten sie tunlichst lassen, empfiehlt man seitens Amazons. Denn nur bei Transaktionen, die komplett über den Marketplace laufen, seien Kunden vor unseriösen Deals mit einer Geld-zurück-Garantie geschützt.

Seinen Marketplace selbst kann der Branchenprimus offensichtlich nicht nachhaltig gegen die dubiosen Verkaufs-Attacken sichern. Schon im Dezember hatte die Verbraucherzentrale Amazon auf das merkwürdige Treiben aufmerksam gemacht. "Wir haben zum genannten Verkäufer bereits Maßnahmen ergriffen, um sicherzustellen, dass es zu keinen weiteren Unregelmäßigkeiten kommt", lautete die Reaktion des Unternehmens

Doch die Masche läuft immer weiter. Bei Stichproben mit Suchanfragen zu TV-Geräten fanden die Tester der Verbraucherzentrale aktuell auf den von Amazon angezeigten Ergebnisseiten dutzende Treffer mit eindeutigen Hinweisen. Testkäufe bei den Verdächtigen wurden stets annulliert. Für den Handelskonzern ist das weit mehr als nur ein Ärgernis. Denn, so Amazon, "eine sichere Einkaufsumgebung hat für uns oberste Priorität".

Quelle: www.winfuture.de

[SiLæncer]

Wer Amazons Browser-Erweiterung 1Button App installiert hat, erlaubt dem Onlinekaufhaus einen intimen Einblick in sein Surfverhalten, wie der polnische Sicherheitsexperte Krzysztof Kotowicz dokumentiert hat. Die Erweiterung meldet die URLs der aufgerufenen Webseiten nicht nur an einen Amazon-Server, sondern auch an den Statistikdienst Alexa. Darüber hinaus protokolliert sie auch noch die Google-Nutzung und wertet die angezeigten Suchtreffer aus. heise Security konnte das Verhalten reproduzieren.

Amazons 1Button App für Google Chrome und Firefox ist durchaus nützlich. Sie verkürzt den Weg zur Amazon-Suche, zeigt aktuelle Angebote und Bestseller an. Wirft man nach der Installation jedoch einen Blick in den Netzwerktraffic, ist dieser positive Ersteindruck ganz schnell wieder verflogen – denn die App meldet jede angesurfte Webseite an Amazon. Jeder Seitenwechsel führt zu einer HTTPS-Anfrage an Amazon.de, die einen Parameter url mit der Adresse der angesteuerten Webseite enthält.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Dazu passt auch sehr gut folgender Artikel aus "Die Welt", jedenfalls solange er abrufbar bleibt:
http://www.welt.de/wall-street-journal/article117119008/Amazon-und-IBM-buhlen-um-die-Gunst-der-CIA.html

Möge sich jeder seine eigene Meinung bilden.
Jedenfalls gilt Alexa bei mir schon seit etlichen Jahren als unerwünscht bis schädlich und wird bestmöglich ausgesperrt.
Für Amazon gilt hier künftig dasselbe, wird am PC gemieden und gesperrt.
Allenfalls mit einer Linux Live-CD wäre ich notfalls noch bereit, deren Seiten gelegentlich einzusehen.
Habe zwar mal - auch auf genau diese Art - einen Account bei Amazon eingerichtet, aber nur, damit das niemand sonst unter Missbrauch meiner Identität machen kann.
Bestellt habe ich bislang dort nichts, und dabei bleibt es erst recht.

Es ist schon ausgesprochen heikel, wenn ein Buchhändler aufzeichnet, welche Lektüre man sich antut.
Eigentlich hat der solche Daten wirksam zu löschen, sobald sie nicht mehr für die Verkaufsabwicklung oder Reklamationen benötigt werden.
Alles andere wäre ein unzulässiger Eingriff in unsere grundgesetzlich verbriefte Informationsfreiheit, die eben nicht nur direkte Zensur verbietet, sondern ebenso die Vertraulichkeit der Quellen gewährleisten muss, aus denen man sich informiert.
Dann auch noch heimlich Inhalte völlig unverbundener Dienste zu überwachen, halte ich in diesem Sinne für geradezu verbrecherisch und einen sehr guten Grund, die Verantwortlichen oder gleich die ganze Firma sofort und endgültig aus dem Verkehr zu ziehen.
Insbesondere die Session-IDs betreffend, kann man getrost von gewerblichem Datendiebstahl reden!


Jürgen

[SiLæncer]

Die Anmelde-Server der Online-Shopping-Site Amazon akzeptieren bei einigen Kundenkonten auch falsche Kennwörter. Das Problem betrifft nicht nur die deutsche Amazon-Website. Einem Leser waren Unregelmäßigkeiten bei der Kennworteingabe aufgefallen. Versehentlich hatte Bernard B. sein Kennwort zweimal hintereinander eingetippt, "Weiter" angeklickt und war dann trotzdem angemeldet. Das Kennwort des Lesers umfasste exakt acht Zeichen. Egal, womit er es verlängerte – Amazon ließ ihn rein.

Nachdem wir das Problem zuerst nicht reproduzieren konnten, überprüfte heise Security den Sachverhalt durch einen Aufruf an Kollegen mit einem Amazon-Konto. Die meisten waren nicht betroffen, doch immerhin 4 von etwa 30 Kollegen konnten das Problem nachvollziehen. Drei von ihnen nutzten ebenfalls acht Zeichen lange Kennwörter.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

...Warum Amazon die seitdem verstrichene Zeit nicht dazu genutzt hat, um betroffene Anwender aus Sicherheitsgründen zum Wechsel ihres Kennworts aufzufordern, bleibt unbekannt.

Quelle : www.heise.de

...kann es sein, dass es sonst zu Inkompatibilitäten mit PRISM oder Tempora käme 

Jürgen