Datenschutz: Amazon setzt Passwörter zurück
[IITR – 4.7.16] Der Online-Händler Amazon hat die Konten einiger seiner Nutzer aus Sicherheitsgründen deaktiviert. „Im Rahmen einer Routineüberprüfung“ habe man „im Internet eine Liste mit E-Mail-Adressen und dazugehörigen Passwörtern entdeckt“, schrieb Amazon in einer E-Mail an betroffene Kunden.
Amazon betont, dass die gefundene Passwort-Liste „in keinerlei Verbindung zu Amazon“ stehe. Aber man wisse, „dass viele Kunden die gleichen Passwörter auf verschiedenen Websites verwenden“. Deshalb habe man die Amazon-Passwörter der betroffenen Kunden zurückgesetzt, wohl um einen Identitätsklau zu verhindern. Die betroffenen Nutzer zwingt Amazon mit diesem Vorgehen dazu, ein neues Passwort einzurichten.
Die Konten-Deaktivierung erfolgte einen Monat nach Bekanntwerden des massiven LinkedIn-Hacks. Im Falle eines Lesers war sein Amazon-Passwort mit dem LinkedIn-Passwort identisch gewesen. Es ist aber unklar, ob Amazon tatsächlich diese Passwörter abgeglichen hat, deren Hashwerte seit Anfang Juni frei verfügbar im Netz sind. Auch ist unklar, wie viele Amazon-Kunden betroffen sind. Die Amazon-Pressestelle reagierte nicht auf unsere Nachfrage.
Bislang wurde nicht bekannt, dass Plattform-Betreiber von sich aus gehackte Passwörter mit den Passwörtern des eigenen Nutzerstamms abgleichen. Datenschutzexperte Thilo Weichert vom „Netzwerk Datenschutzexpertise“ hält das Vorgehen für legitim und vorbildlich: „Man kann von einem Telemedien-Anbieter schon erwarten, dass er solche Sicherheitsmaßnahmen ergreift.“ Gesetzlich sei dies aber bisher nicht verlangt, auch die kommende Datenschutz-Grundverordnung sehe dies nicht vor. Es besteht aber eine Meldepflicht für Sicherheitsvorkommnisse, die den eigenen Dienst betreffen.
Das CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt davor, dass Phishing-Mails derzeit verschickt werden, die aufgrund persönlicher Ansprache plausibel wirken. Vermutlich stammen die Informationen aus dem LinkedIn-Hack. Inzwischen ist eine Klage gegen LinkedIn anhängig, da das Unternehmen die Passwörter nicht nach dem Stand der Technik geschützt hat.
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
Prather
Ich selber bin davon betroffen dass mein Passwort bei Amazon zurückgesetzt wurde. Mein Grund war das eines fremden Zugriffs auf mein Konto, meine Kreditkarte wurde belastet, was aber von dem Kreditinstitut erstattet. Nach der Rücksetzung des Passworts war es mir NICHT mehr möglich einen Einblick in mein Konto zu bekommen. Amazon hat mir gesagt ich sollte eben ein neues Konto anlegen. Nie im Leben werde ich wieder Kunde bei Amazon sein, und meine Sorgen beziehen sich darauf wer wohl weiterhin Zugriff auf mein Konto bei Amazon hat. Ich kann das Konto löschen aber muss dann vertrauen dass meine persönlichen Daten auch wirklich gelöscht sind. Vertrauen in Amazon habe ich jedoch nicht mehr.