Datenleck bei Amazon: Ein massives Sicherheitsrisiko für die Marketplace-Händler

In einem aktuell aufgedeckten Datenleck bei Amazon wurden hochsensible Informationen von Verkäuferkonten sehr wahrscheinlich unbeabsichtigt öffentlich gemacht.

Auf den Informationsseiten der Händler, auf denen das Impressum und andere gesetzlich vorgeschriebene Informationen korrekt aufgeführt sind, erscheinen weiter unten – nach den Kundenbewertungen, den Rückgabe- und Erstattungsbedingungen sowie den Informationen zur „Amazon A-Z-Garantie“ – weitere und durchaus sensible Daten.


Im oberen Teil der Seite (1) werden die unbedenklichen Daten veröffentlicht, mit denen die Anforderungen des Gesetzes über digitale Dienste und die von Amazon zu Recht geforderten Verkäuferinformationen für Kunden erfüllt werden.

Viel weiter unten (2) finden sich die Daten, die jedem versierten Hacker Tür und Tor öffnen, um ein Verkäuferkonto zu infiltrieren.

SELR hat nach über 30 Konten diese obige Protokollierung gestoppt, da es uferlos wurde. Hacker hingegegen werden solch ein Screening automatisiert in Perfektion und umfänglich erstellen. Nahezu jedes der von uns aufgerufenen Konten deutscher Händler hatte diese zwei Anbieterkennzeichnungen mit unterschiedlichen Daten. Interessanterweise werden bei chinesischen Händlern auf dem deutschen Marktplatz seltenst die Anbieterinformationen oben (1) angezeigt und diese sind nur versteckt unten (2) zu finden.


In einem zweiten Block mit der Überschrift „Impressum & Infos zum Verkäufer“ werden E-Mail-Adressen und Telefonnummern für die interne Kommunikation zwischen Händlern und Amazon veröffentlicht, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Diese Daten sind es, welche Händler meist für die Zwei-Faktor-Authentisierung (2FA) nutzen, wenn Amazon beim Einloggen in das Verkäuferkonto die Zugangsberechtigung abfragt.

Seit Jahren warne ich davor, sich auf den Rat vieler Amazon-Experten zu verlassen, kryptische E-Mail-Adressen seien eine zuverlässige Sicherheitsmaßnahme gegen Hackerangriffe. Tatsächlich haben sich solche Adressen noch nie als wirksamer Schutz erwiesen.

Andreas Frank, Onlineunternehmer und eCommerce-Mentor

Besonders bedenklich ist, dass neben den E-Mail-Adressen nun auch die Telefonnummern, die üblicherweise für die Zwei-Wege-Authentifizierung verwendet werden, in den öffentlich zugänglichen Händlerinformationen auf Amazon zu finden sind.

Exakt das sind die Daten, auf die es jeder Hacker abgesehen hat!

Die SELR-Redaktion wurde von einem Mitglied des Experten-Komitees des Händlerbundes informiert; mit über 90.000 betreuten Onlinepräsenzen einer der größten Interessenverbände für Digitalunternehmer in Europa und ein wichtiges Sprachrohr der Onlinehändler.

Ein offenes Tor für Hacker

Dieses Datenleck stellt ein enormes Sicherheitsrisiko dar, da es Hackern potenziell leichten Zugang zu Händlerkonten verschafft.

Solche interne Daten dürfen einfach nicht öffentlich einsehbar sein und wir Händler müssen uns darauf verlassen können, dass Amazon Teile unsere Zugangsdaten nicht in der Anbieterkennzeichnung veröffentlicht!

Das ist unsinnig und wird zudem von keinem Gesetz gefordert. Sobald diese Informationen im Besitz unbefugter Dritter sind, können sie die Kontrolle über die Händlerkonten erlangen und erhebliche finanzielle und Reputationsschäden verursachen. Die Sensibilität dieser Informationen macht sie zu einem gefährlichen Werkzeug in den Händen von Cyberkriminellen.

Bisherige Reaktionen

Nachdem das Problem entdeckt wurde, haben mehrere Händler den Amazon-Support kontaktiert und Fälle eröffnet, in der Hoffnung auf eine schnelle Lösung. Amazon muss nun schnell handeln, um diese gravierende Sicherheitslücke zu schließen und Schäden abzuwenden.

Mögliche Konsequenzen

Die gegenwärtige Situation stellt für die Händler ein erhebliches Problem dar, weil sie sich einer Herausforderung gegenübersehen, auf die sie nur begrenzt Einfluss nehmen können.


Update, 10.05.2024, 10:35 Uhr:
Das Problem sind offensichtlich die Einstellungen im türkischen Marktplatz. Von dort wird die eMail-Adresse ausgespielt. Alle Händler sollten in ihren Einstellungen für den türkischen Amazon-Marktplatz die eMail-Adresse prüfen und ggf. dort korrigieren.

Update, 10.05.2024, 11:04 Uhr:
Es scheint noch weitere Ungereimtheiten bezüglich der Händlerdaten bei Amazon zu geben. Ein Händler berichtet davon, dass seine aktuelle Rechnung für das EPR Compliance Program FR auf die Anschrift eines Hotels ausgestellt wurde, in welchem er vor Monaten für ein paar Nächte weilte und wohin er sich einen Elektroartikel liefern ließ.

Update, 10.05.2024, 12:32 Uhr:
Wie uns Händler melden, betrifft sie ebenfalls das Problem, obwohl sie auf dem türkischen Amazon-Marktplatz nicht gemeldet sind. Es muss also weitere Kanäle bei Amazon geben, über die diese eigentlich diskret zu behandelnden Daten an Jedermann ausgespielt werden.

Update, 10.05.2024, 17:33 Uhr:
Die Pressestelle von Amazon hat sich gemeldet. Was schon einmal sehr löblich ist. Wie sich aber im Gespräch schnell herausstellte, wurde bei Amazon das Problem inhatlich noch nicht erkannt.

Offensichtlich wurde beim Studium des SELR-Artikels überlesen, dass es auf den Seiten der Anbieterkennzeichnung bei Amazon in Deutschland zwei Blöcke mit Unternehmensinformationen gibt. Im Gespräch konnte Andreas Frank von SELR die Pressesprecherin von Amazon zum zweiten Block navigieren, wo sich die nicht für die Öffentlichkeit bestimmten eMail- und Mobilfunkdaten finden.

Dass es diesen zweiten Block gibt, war für die Gesprächspartnerin aus dem Hause Amazon eine Unbekannte. Interessanterweise gibt es diese (unsinnige) Doppelung offensichtlich in Spanien und Frankreich nicht!

Amazon bestreitet, dass es ein Datenleck gebe, da sie durch die europäischen Gesetze zur Veröffentlichung von Kontaktdaten verpflichtet sind. Ja Amazon, das ist unstrittig. Diese Anforderungen werden von deutschen Händlern seit Ewigkeiten erfüllt. Was aber nicht bedeutet, dass es ein Gesetz gibt, welches von Amazon zusätzlich die Publikation der diskreten Daten des Händlers verlangt, die dieser zum Zugang seines Händlerkontos (!) nutzt.

Es sollte nicht unerwähnt bleiben, dass Amazon SELR mit dem Begriff „Datenleck“ ein irreführendes Wording vorwirft. Ein „Leck“ sei „ein Angriff von außen“, bei dem Angreifer Daten ausspionieren könnten. Nein, das Wort Leck ist so nicht definiert und daher in der Artikelüberschrift völlig korrekt: Amazon hat – sehr wahrscheinlich aus Versehen und aus Unwissenheit – Händlerdaten veröffentlicht, die nicht in die Öffentlichkeit gehören.

Anstatt reflexartig mit dem Säbel zu rasseln, wie es für Großkonzerne typisch ist, wäre uns Händlern mit einer schnellen Lösung des Problems mehr geholfen. Zu leugnen, dass Daten in der Öffentlichkeit stehen, die dort nicht hingehören, ist angesichts der zahlreichen Beschwerden von Händlern in diversen E-Commerce-Foren und einer soliden Dokumentation seitens SELR absurd.

Nicht zu vergessen, über die Hälfte des Amazon-Handelsumsatzes steuern wir Marketplace-Händler bei. Was man in der Kommunikation mit uns Händlern aber leider seltenst spürt!

Update, 17.05.2024, 13:30 Uhr:
Im eCommerce-Talk „Pfänder & Frank“ auf YouTube haben wir das Thema besprochen. So lange Amazon das Problem einfach nicht anerkennen möchte, sich hinter längst erfüllten EU-Gesetzen versteckt und immer darauf verweist, man sollte halt als Händler seine Kontaktdaten im Griff haben, gibt es nur eine Lösung. Diese ist nicht perfekt. Immerhin ist sie aber besser, als der Veröffentlichung von Mobilfunknummer und diskreten eMail-Adressen in dem überflüssigen zweiten Block der Anbierkennzeichnung ausgeliefert zu sein.

Hier geht es zu dem Artikel inklusive YouTube-Video:
So kannst Du Dich vor fremden Zugriffen auf Dein Amazon-Händlerkonto schützen


Fazit

Die Unsicherheit und der potenzielle Schaden, der durch die unfreiwillige Offenlegung entsteht, könnten nicht nur zu finanziellen Verlusten führen, sondern auch das Vertrauen der Kunden nachhaltig beeinträchtigen und damit die Zukunft des betroffenen Unternehmens gefährden.

Es ist wichtig, dass Amazon so schnell wie möglich Maßnahmen ergreift, um dieses Datenleck zu schließen und seine Sicherheitsprotokolle überarbeitet, um solche Vorfälle in Zukunft zu verhindern.

In der Zwischenzeit sollten alle Amazon-Händler ihre Konten noch sorgfältiger überwachen und sich auf eine schnelle Reaktion bei möglichen Sicherheitsverletzungen vorbereiten.

Weitere Infos für den Fall der Fälle:
Handlungsanleitung für Amazon-Händler bei Verdacht auf Konto-Hack

Der Newsletter für Onlinehändler

Authentische Insights und ehrliche Praxis-Tipps für echte Unternehmer statt leerer Versprechungen. Wenn auch du keine Lust auf Bubble-Hype und Fanboy-Gehabe hast, dann abonniere jetzt diesen Newsletter. Willkommen ❤️ in der SELR-Community.

Foto des Autors

Über die Autor*innen

Andreas Frank

Andreas Frank ist ein Pionier der deutschen Digitalwirtschaft, hat seit 1992 mehrere Internetfirmen mit Erfolg gegründet und ist an acht Exits beteiligt. Er wohnt in Palma de Mallorca und führt seine auf digitale Geschäftsmodelle spezialisierte FrankVestor GmbH in Hamburg. Frank ist ausgebildeter Werbekaufmann und hat Marketing, Kommunikation und Wirtschaftsrecht studiert. Er ist als Berater, Investor und Redner tätig und engagiert sich seit vielen Jahren im Expertenrat des Händlerbundes.