Hallo zusammen,

ich habe seit einiger Zeit ein großes Problem mit meinem Amazon-Account und vor allem mit der angebotenen Hilfe per Hotline durch Amazon.
Folgende Situation/Ablauf:
1. Per Fremdzugriff wurden 2 Bestellungen aufgegeben. Je ein günstiger Gegenstand aus meiner Watchlist + je ein Gutschein über ~50€ zum Selbstausdrucken
2. Amazons Software hat dies direkt als Fremdzugriff erkannt und den Account gesperrt
3. Ich habe den Account durch ein Telefonat mit der Hotline wieder geöffnet. Passwörter neu, Kreditkarten gesperrt etc, da ich dachte ich wurde ggf gehackt. Es gab jedoch keine Anzeichen von Keyloggern, Viren,Trojanern etc -> Spybot und ESET+Avast
4. Per Fremdzugriff ist das gleiche einige Tage später wieder passiert. Die Hotline hat mir dann die 2-Stufenverifizierung per 6-stelligem SMS Code empfohlen, welche ich auch eingerichtet habe.
5. 3-4 Tage später wurde auf meinem Account erneut versucht eine Bestellung aufzugeben (E-Mail mit Bestellbestätigung kam wieder bei mir an), trotz 2-Stufen-Verifizierung. Amazons Software blockte alles automatisch und ich hatte eh keine neuen Kreditkartendaten oder ähnliches hinterlegt. Es ist also nichts passiert.
6. Ich habe bei der Hotline nachgefragt, wie es sein kann, dass mit meinem Account durch Fremdzugriff trotz 2-Stufen-Verifizierung bestellt werden kann -> Antwort: Das wäre technisch nicht möglich und sie kümmern sich. Passiert ist außer den typischen Dreizeilern natürlich nichts.
7. Ich habe den Account nicht wieder hergestellt, sondern nach Rücksprache mit der Hotline gesperrt gelassen, bis Sie mir das Problem erklären und ich mir sicher sein kann, dass ich wieder Kreditkartendaten hinterlegen kann ohne Angst zu haben, dass es zu einem erneuten Fremdzugriff kommt.
8. Jetzt kommt der Hammer: Es wurde inzwischen 3x binnen einer Woche eine Bestellung mit meinem gesperrten, 2-Stufen-SMS-gesicherten Account aufgegeben (ich habe die Bestellbestätigungs-Mails alle in meinem EMail-Postfach). Die Hotline hat wieder keine Erklärung, erklärt jedoch nur am Telefon und auch schriftlich durch das Sicherheitscenter, dass Sie alles bereinigt hätten und ich einfach den Account wieder aktivieren soll, denn es wäre alles gut...

Mir platzt da etwas die Hutschnur.
Kennt irgendwer solche Probleme?
Gibt es Hotlines von Amazon, die man irgendwie erreichen kann mit Leuten die kompetent genug sind einem bei solchen Problemen weiterzuhelfen?
Hat jemand Ideen was ich da machen kann? -> Landesbeauftragte für datenschutz und informationsfreiheit? Verbraucherschutz? Anwalt?

Amazon hilft mir leider gar nicht. Die letzte Mail ist wieder völlig am Thema vorbei. Eigentlich würde ich nur gerne wieder bei Amazon shoppen und Prime Video nutzen, was ich eigtl auch per Abo bezahle und momentan nicht nutzen kann.

Ich bin für Ideen dankbar :-)

Zwar nicht "hilfreich", aber zur "Absicherung" würde ich vorsorglich Strafanzeige gegen Unbekannt erstatten.

Den Weg zur Polizeidienststelle musst du auch nicht zwingend machen, geht meist schon online, je nachdem, wo du wohnst.

(Google Suchbegriff, Beispiel : Onlineanzeige Dortmund)

Hast du "nur" die Bestellbestätigungs-Email bekommen oder hat der Amazon-Support bestätigt, dass es diese Bestellungen gibt?
Nicht, dass es einfach nur gut gefälschte Amazon-Emails sind.

Das wird wahrscheinlich nicht direkt an deinem Account oder Login liegen.
Hier sieht es nach einem internem Fehler bei Amazon aus.
Ich glaube da kannste nicht viel machen. Den Account gesperrt lassen und den Rest haste ja soweit es in deiner Macht steht schon erledigt.

Anzeige erstatten gegen Unbekannt würde ich da auch in Erwägung ziehen.

Amazon hilft mir leider gar nicht. Die letzte Mail ist wieder völlig am Thema vorbei. Eigentlich würde ich nur gerne wieder bei Amazon shoppen und Prime Video nutzen, was ich eigtl auch per Abo bezahle und momentan nicht nutzen kann.

Ich bin für Ideen dankbar :-)
"Vorsicht, Kunde" von Heise (o.ä.) wäre auch noch eine Idee.

Das klingt echt krass (und vor allem Publicity-Wirksam).

Blöde Frage, aber hast du eine Gmail Adresse hinterlegt?

Blöde Frage, aber hast du eine Gmail Adresse hinterlegt?
Bitte erklären, warum diese Frage nach Gmail-Adresse.

Bitte erklären, warum diese Frage nach Gmail-Adresse.

Sorry Denkfehler, ich hatte gedacht, dass es einen Unterschied macht ob man sich mit @gmail.com oder @googlemail.com anmeldet, aber dem ist ja nicht so, beide sollten ja dem selben Nutzer gehören, daher...

Das riecht irgendwie nach einem Api-Zugriff, der möglicherweise ein anderes Authentifizierungsverfharen nutzt.

Also ich habe meinen Amazon Account auf mehreren Rechnern und die verlangen sehr sporadisch nach erneuter Anmeldung.

Ich vermute dass da ein Cookie mit entsprechender Laufzeit am Werk ist... oder liege ich komplett falsch?

Auf welchen Geräten hast Du Deine Passwörter geändert? Immer das Selbe? Aus dem Selben Netzwerk?

Es gibt auch gefälschte Bestellbestätigungen. Bestellungen gehen nur mit einer hinterlegten Zahlungsmethode. Hattest Du die E-Mail-Adresse auch geändert?

Also ich habe meinen Amazon Account auf mehreren Rechnern und die verlangen sehr sporadisch nach erneuter Anmeldung.

Ich vermute dass da ein Cookie mit entsprechender Laufzeit am Werk ist... oder liege ich komplett falsch?

Aber wenn die 2FA aktiviert ist, nutzt Dir der Cookie nix, weil Du den Code von der SMS eingeben musst. Da sollte man dann auch den Haken rauslassen, beim nächsten Mal nicht mehr fragen.

Aber ist schon echt merkwürdig.

Hast du "nur" die Bestellbestätigungs-Email bekommen oder hat der Amazon-Support bestätigt, dass es diese Bestellungen gibt?
Nicht, dass es einfach nur gut gefälschte Amazon-Emails sind.
Ich habe die Bestätigungen und zu jeder E-Mail auch gleich immer eine automatische Mail des Systems von Amazon, das die Zahlung abgelehnt wird und die Bestellung storniert sowie das System bereinigt.
Die Mitarbeiter von der Amazon-Hotline sehen diese Mails auch in Ihrem System und bestätigen, dass diese automatisch von Amazon geschickt werden. Somit sind es keine "Phishing"-Mails oder so.

Das riecht irgendwie nach einem Api-Zugriff, der möglicherweise ein anderes Authentifizierungsverfharen nutzt.
Was ist das? Was kann ich/Amazon dagegen tun?

Auf welchen Geräten hast Du Deine Passwörter geändert? Immer das Selbe? Aus dem Selben Netzwerk?
Arbeitslaptop, Privatlaptop, Handy sind meine Logins. Seit dem ich die 2-Schritt-Verifizierung eingestellt habe und es trotzdem wieder einen Fremdzugriff gab, habe ich den Account aber gar nicht mehr genutzt. Trotzdem wird weiterbestellt bzw. es wird versucht. Immer das selbe Muster: Ausdruck-Gutschein + günstige Artikel die zu meinem Kaufverhalten passen

Bin leider weiter ratlos :-(

hast du auch alle Geräte etc. abgemeldet?

Ein Gerät abmelden
Sie können ein Gerät von Ihrem Konto auf Amazon.de abmelden, wenn Sie damit nicht länger Apps oder In-App-Artikel kaufen möchten.

So melden Sie ein Gerät ab:
Gehen Sie auf Amazon.de zu Meine Apps und Geräte.
Klicken Sie Ihre Geräte an.

Klicken Sie die Aktionen-Schaltfläche und anschließend Gerät abmelden an. Durch die Abmeldung Ihres Gerätes werden Appstore Käufe von diesem Gerät aus verhindert. Außerdem kann keine App mehr verwendet werden, die vom Amazon Appstore für Android gekauft und auf dieses Gerät heruntergeladen wurde. Sie können die Möglichkeit, von dem Gerät einzukaufen, wiederherstellen, indem Sie sich erneut im Amazon Appstore für Android anmelden.

Ich hatte nie die Amazon App in Verwendung, wenn auf dem Handy dann immer im Webbrowser. Momentan komme ich eh nicht aufs Konto da es gesperrt ist.
Selbst die Hotline muss mir im Gespräch eine SMS schicken, um auf mein Konto zu schauen. Kann es denn sein, dass irgendwie weiterhin jemand auf mein Konto kommt ohne SMS? Ich kann mir das nicht vorstellen?!? Irgendwie kommt mir das eher nach nem internen Problem bei denen vor. Nem Hack bei denen oder halt ein Mitarbeiter der sein Unwesen treibt.

Oder Du hast einen Gast auf Deinem Handy der auch SMS mitlesen kann :)

Irgendwie kommt mir das eher nach nem internen Problem bei denen vor. Nem Hack bei denen oder halt ein Mitarbeiter der sein Unwesen treibt.

Wenns ein Hack ist müsste es doch eigentlich auch noch einige andere treffen glaube ich. Da wärst du dann jetzt bestimmt nicht allein.
Sowas spricht sich bestimmt schnell rum im Netz.

Aber verdammt ärgerlich ist das schon. Besonders wenn man oft bei denen kauft.

Oder Du hast einen Gast auf Deinem Handy der auch SMS mitlesen kann :)
Es kommen ja keine SMS bei mir an, wenn das passiert, sondern da kommen einfach nur die Bestellbenachrichtigungen. Und wenn jemand tatsächlich SMS abfangen könnte, würde ich annehmen, dass er sich bessere Dinge einfallen lässt als 20-75€ Gutscheine auszudrucken :-)

selbst wenn du keine App nutzt, in deinem Konto könnte ggf ein 2. Zugriff hinterlegt sein von jemand externem :/

selbst wenn du keine App nutzt, in deinem Konto könnte ggf ein 2. Zugriff hinterlegt sein von jemand externem :/
Also die netten MA der Hotline meinten, da sind 2 Handynummern hinterlegt, das sind beides meine 2 Sims in einem Handy (Privat&Arbeit) und sonst nichts anderes. Diese Nummern wurden laut deren Angabe auch nie gewechselt. Es gab auch nie Anfragen auf Passwortänderungen, sowas können die Amazon-MA wohl sonst direkt sehen.
Alles Dinge die mich sehr verwirren und für mich auf ein internes Problem hindeuten. Ich würde das halt gern mal mit einem aus der Technik von denen durchgehen, da sie eigtl auch IP-Adressen (Länder/Regionen/etc) sehen sollten von wo die Bestellungen aufgegeben werden, aber das werde ich als Einzelfall wohl nie erfahren.

Waren die Lieferadressen auch deine? Hast du ggf schon deine E-Mail-Adressen Passwörter geändert?


(ich bin da ein wenig paranoid, vor 1,5 Jahren hatte jemand meinen Ebay-Account gehackt, der auch gleich mit dem Paypal-Account verbunden gewesen war ... der gleich bei mmoga ein paar Sachen bestellt hatte ... natürlich konnte ich schnell alles klären, aber seitdem ist mmoga paranoid bei jeder meiner gewünschten Bestellung etc.)

Jo die Lieferadressen waren auch meine, wurden auch nie geändert, beim allerersten Zugriff ist sogar eine Lichterkette bei mir zu Hause angekommen ;-)
Passwort des Mail Accounts habe ich natürlich geändert.

Mmhhhh wenn hier auch keiner eine Idee hat werde ich wohl tatsächlich den Account noch einmal aktivieren lassen, damit ich ihn löschen kann. Unfassbar nervig, auch etwas ärgerlich, da ich das prime abo ja auch neu abschließen muss.

Wenns irgendwas internes bei Amazon ist wirst du es nicht erfahren.
Merkwürdig ist ja das trotz deaktiviertem Konto da scheinbar Bestellungen möglich sind.
Würde auf alle Fälle nochmal Kontakt zu Amazon versuchen.

Hast du "nur" die Bestellbestätigungs-Email bekommen oder hat der Amazon-Support bestätigt, dass es diese Bestellungen gibt?
Nicht, dass es einfach nur gut gefälschte Amazon-Emails sind.

Ich vermute genau das gleiche. Es gab keine Bestellungen. Es sind gefakte Mails über gefakte Bestellungen generiert worden. Das ist zumiindest die einzige Erklärung die sinn ergibt.

beim allerersten Zugriff ist sogar eine Lichterkette bei mir zu Hause angekommen ;-)

augenscheinlich sind nicht alle Bestellungen Fake :|

Frag beim Provider nach, ob eine Multisim existiert. Den Trick gibt es öfters um 2FA auszuhebeln.

Hallo zusammen, ich hab mich extra wegen diesem Thema angemeldet. Seit drei Monaten bei mir das selbe Spielchen. Trotz zwei Wege Authentifizierung ständig Bestellungen von Xbox Gutscheinen. Amazon bekommt es nicht gebacken mir zu helfen. Der Hacker hatte sogar Kontakt zum Kundenservice und hat den auf Englisch belabert er hätte bestellte Produkte nicht erhalten und hätte daher gern eine Erstattung auf Amazon Gutscheine. Der Kundenservice hat das getan und er hat davon wieder Xbox Gutscheine gekauft.. Jemand eine Lösung oder einen hilfreichen Kontakt zu Amazon?

Ich habe eine mögliche Lösung gefunden. Ruf den Amazon Support an. Gehe denen so lange auf die Nerven, bis sie Dir die Geräte nennen, auf denen Dein Konto konfiguriert ist. Es gibt Geräte, auf denen Du Dich mit Deinem Amazon-Konto anmelden kannst und diese Geräte tauchen NICHT auf der Liste auf, die Du in Deinem Kundencenter sehen kannst. Das sind gerne "Smart TVs". Von dort können Bestellungen ohne MFA getätigt werden und Angreifer haben sich auf die Übernahme (gerne auch "verkettet") spezialisiert.

Seit drei Monaten bei mir das selbe Spielchen. Trotz zwei Wege Authentifizierung ständig Bestellungen von Xbox Gutscheinen. Amazon bekommt es nicht gebacken mir zu helfen. Der Hacker hatte sogar Kontakt zum Kundenservice und hat den auf Englisch belabert er hätte bestellte Produkte nicht erhalten und hätte daher gern eine Erstattung auf Amazon Gutscheine. Der Kundenservice hat das getan und er hat davon wieder Xbox Gutscheine gekauft.
Wenn Amazon das Problem von alleine nicht in den Griff kriegt (kriegen will) würde ich auch mal darüber Nachdenken die Verbraucherzentrale einzuschalten...

Irgendwann sollte man einfach über rechtliche Schritte nachdenken, statt sich unterwürfig in die Warteschleife zu begeben.

Wenn das mit dem Kundenservice so gelaufen sein sollte, wäre bei mir jeder Gutwille verspielt.

Einen Echo und Kinder habt ihr aber nicht? Oder mal einen Echo verkauft und nicht zurückgesetzt?

Das ist schon extrem merkwürdig alles.

Hast du mal die Emailadresse geändert?

Mal versucht Publicity zu machen, also z.B. "Vorsicht Kunde" bei heise anzusprechen?
Klingt nach ner spannenden Story.
Und wenn die Gefahr droht in die Zeitung zu kommen werden viele Firmen auf einmal agil.

Heute wieder bei Amazon angerufen, aber weiter als zum First Level Support kommt man nicht. Mein Anliegen wird weitergeleitetet und es wird sich bei mir per Mail gemeldet, da die Kontospezialisten keinen telefonischen Kundenkontakt haben..

Hast du mal die Emailadresse geändert?
Mail hab ich noch nicht geändert

Einen Echo und Kinder habt ihr aber nicht? Oder mal einen Echo verkauft und nicht zurückgesetzt? Echo und Kind ja, aber Kind ist erst wenige Wochen alt. Verkauft habe ich noch keinen Echo.

Wenn Amazon das Problem von alleine nicht in den Griff kriegt (kriegen will) würde ich auch mal darüber Nachdenken die Verbraucherzentrale einzuschalten...

Irgendwann sollte man einfach über rechtliche Schritte nachdenken, statt sich unterwürfig in die Warteschleife zu begeben.

Wenn das mit dem Kundenservice so gelaufen sein sollte, wäre bei mir jeder Gutwille verspielt. angehängt der chat Verlauf zwischen "mir" und Amazon . Den Namen des Mitarbeiters habe ich durch Amazon getauscht ebenso meinen Namen mit meinName.

1. November 2019 17:58:59 Initial Question: Hello, sorry that so long did not address my problem. I was in the hospital and didn't get my product.

1. November 2019 17:59:09 Amazon has accepted the chat.

1. November 2019 17:59:13 meinName : ORDER #
...

1. November 2019 17:59:42 Amazon (CSA) : Hello and welcome to Amazon.de Chat. My name is ... I will be glad to assist you.

1. November 2019 18:00:06 meinName : I haven't received the parcel at all

1. November 2019 18:00:33 Amazon (CSA) : I'm sorry to learn that you have not received your order yet.

1. November 2019 18:02:20 Amazon (CSA) : If you prefer, I'll immediately contact the carrier and find the exact circumstances of the delivery so that you will receive the order without any further delay.

1. November 2019 18:02:48 meinName : I asked all the neighbors - they didn't get anything

1. November 2019 18:02:59 meinName : please refund now

1. November 2019 18:05:12 Amazon (CSA) : I'll appreciate your efforts, the moment we receive the response from the carrier, we will initiate the full refund.

1. November 2019 18:05:36 meinName : Oh, I can't wait that long.

1. November 2019 18:05:46 meinName : understand me I have no reason to write to you just like that

1. November 2019 18:07:30 Amazon (CSA) : Could you please allow me so that I can take help from my manager?

1. November 2019 18:07:43 meinName : Sure

1. November 2019 18:11:01 Amazon (CSA) : Thank you so much for being online. I would like to appreciate your patience.

1. November 2019 18:11:19 meinName : ok

1. November 2019 18:11:58 Amazon (CSA) : Would you like to have refund in gift card or payment card?

1. November 2019 18:12:15 meinName : gift card

1. November 2019 18:13:00 Amazon (CSA) : I’ve initiated a full refund of EUR 72.99 to the gift card.

1. November 2019 18:13:06 meinName : ty

1. November 2019 18:13:23 meinName : bye

1. November 2019 18:13:25 meinName has left the conversation.

We'd appreciate your feedback. Please use the buttons below to vote about your experience today.

Mail hab ich noch nicht geändert
Der hat offensichtlich Zugang auf Deinen Account. Daher solltest Du schnellstens, wenn noch selbst Zugriff, alles ändern, inklusive das Löschen enthaltener Bankverbindungen.
Wenn Du keinen Zugriff hast, beim Support um Sperrung des Kontos bitten.

Auch solltest Du mal Deine Zugangsgeräte überprüfen, was Troianer und Keylogger angeht.

Es ist ein Smart-TV :rolleyes: :rolleyes:

https://old.reddit.com/r/sysadmin/comments/dpbt3t/the_perils_of_security_and_how_i_finally_resolved/

Also zu meinen ursprünglichen Problemen:
kein Smart-TV (bzw Smart TV aber keine Amazon Nutzung)
kein Echo oder ähnliches

Ich hab es tatsächlich so gelöst das Konto löschen zu lassen und mir ein neues direkt mit 2Stufen von Anfang erstellt. Keine Probleme seit dem.
An Verbraucherzentrale, Heise etc hatte ich auch gedacht, jedoch hab ich da immernoch keine Zeit für...wenigstens ist es jetzt hier verankert und auch über google zu finden, falls noch mehr solche Probleme haben.

Es ist ein Smart-TV :rolleyes: :rolleyes:

https://old.reddit.com/r/sysadmin/comments/dpbt3t/the_perils_of_security_and_how_i_finally_resolved/

So wie ich das verstanden habe war das nicht sein TV. Seine Logininformationen wurden wohl gestohlen. Der Dieb hat sich dann mit den Daten über einen Huawei TV eingelogt. Dort hat er dann fleißig Sachen bestellt und das Teil taucht nicht im System vom Amazon direkt auf.

Naja aber wenn er das Passwort von seinem Amazon Account ändert, dann dürfte die Smart TV App auch nicht mehr funktionieren. Über die Prime APP kam man doch ehh nur Filme bestellen etc. und keine Gift Card.

Es ist ein Smart-TV :rolleyes: :rolleyes:

https://old.reddit.com/r/sysadmin/comments/dpbt3t/the_perils_of_security_and_how_i_finally_resolved/

Es können wohl random Android-Geräte sein. Nur weil das Gerät Samsung Huawei heißt ist's noch lang kein smart TV ;)

@rancor: es ist eben so, dass keine tvs mit Prime Apps sind/sein müssen, sondern irgendwas anderes. Sie scheinen aber ne Lücke zu nutzen die eben auch bei smarttvs besteht nutzen. Außerdem bleiben die Dinger im Account und können sich ohne auth einlogge, auch wenn man das Passwort ändert oder Zweifaktor Authentifizierung nutzt/aktiviert. Kompletter fuck up.

Bei the register gabs die Tage mehrere Artikel:

https://www.theregister.co.uk/2019/11/04/amazons_unlisted_devices/

https://www.theregister.co.uk/2019/10/31/amazon_account_hacking/


Bin echt gespannt ob da Mal raus kommt was die für Lücke nutzen konnten.

Naja aber wenn er das Passwort von seinem Amazon Account ändert, dann dürfte die Smart TV App auch nicht mehr funktionieren. Über die Prime APP kam man doch ehh nur Filme bestellen etc. und keine Gift Card.

Er hats ja getestet bei seinem. Passwort hat er ja geändert gehabt und er hat sich am TV im Schlafzimmer von selber wieder eingeloggt. Evtl. passiert das auch übern Browser dann kann man alles kaufen. Könnte man mal testen.

I go up to the master bedroom and turn on the Samsung Smart TV I own. I access the Prime Video app (which I hadn't used in a few weeks) and verify I can get right in, indicating the device was still authorized and logged into my account.

Tjoa, da muß Amazon scheinbar nachlegen.

Gibt ja durchaus simple Lösungen. Bei Steam, Telegramm etc. kann man ja einfach alle aktiven Sitzungen/Geräte abmelden. Ist natürlich blöd, wenn das dann der Hijacker macht, aber dafür gibt es ja E-Mail etc.. Und man muss die Option ja nicht für Smart TVs freischalten.

Das kann man ja bei Amazon augenscheinlich auch. Es werden nur nicht alle devices gelistet. Nicht mal der normale Support clerk sieht alle Geräte. Was für ein scheiß :eek:

Was ich mich aber Frage: wie kommen die an die Codes der giftcards? Die werden doch wohl nicht im Klartext im Account oder direkt nach der Bestellung angezeigt, oder? (ich hab noch nie eine gekauft).

Tjoa, da muß Amazon scheinbar nachlegen.

Gibt ja durchaus simple Lösungen. Bei Steam, Telegramm etc. kann man ja einfach alle aktiven Sitzungen/Geräte abmelden.

Geht bei Amazon genau so.

hört sich so an, als ob angreifer an das passwort rangekommen sind und eine alte version der amazon-app ohne 2FA nutzen. das gerät sendet zudem scheinbar eine falsche kennung, weil smart tvs bei der verknüpfung anders gehandhabt werden. bei meinem LG smart-tv z.b. bleibt die app verknüpft auch wenn ich meine email-adresse oder das passwort ändere, d.h. eine neu-authentifizierung ist nicht notwendig.
wie hier beschrieben müssten eigentlich von amazon alle geräte vom konto gelöst werden um diese lücke zu schließen.

Geht bei Amazon genau so.

Wo geht das?

Wenn man die Geräte bei Amazon löscht, kann man die dann wieder einfügen? Also so zum testen?

Es können wohl random Android-Geräte sein. Nur weil das Gerät Samsung Huawei heißt ist's noch lang kein smart TV ;)

@rancor: es ist eben so, dass keine tvs mit Prime Apps sind/sein müssen, sondern irgendwas anderes. Sie scheinen aber ne Lücke zu nutzen die eben auch bei smarttvs besteht nutzen. Außerdem bleiben die Dinger im Account und können sich ohne auth einlogge, auch wenn man das Passwort ändert oder Zweifaktor Authentifizierung nutzt/aktiviert. Kompletter fuck up.

Bei the register gäbs die Tage mehrere Artikel:

https://www.theregister.co.uk/2019/11/04/amazons_unlisted_devices/

https://www.theregister.co.uk/2019/10/31/amazon_account_hacking/


Bin echt gespannt ob da Mal raus kommt was die für Lücke nutzen konnten.

Das ist aber eine schwere Sicherheitslücke.

Wo geht das?
Inhalte und Geräte ->Geräte.


Funfact: Hab mich für die Screenshots grad frisch mit dem Handy eingeloggt. Der erste Login ging ohne 2fa und ich dachte mir, dass ich noch nen zweiten Screenshot mache. Musste mich neu anmelden und auch einen 2fa Code eingeben.

.

Inhalte und Geräte ->Geräte.


Funfact: Hab mich für die Screenshots grad frisch mit dem Handy eingeloggt. Der erste Login ging ohne 2fa und ich dachte mir, dass ich noch nen zweiten Screenshot mache. Musste mich neu anmelden und auch einen 2fa Code eingeben.

.

Es geht um den Knopf "alle Geräte abmelden" den gibt es bei Amazon nicht.
Einzelnt klar. Hilft aber auch nicht für Geräte die dort nicht gelistet sind.

Bei mir sind da ca. 20 gelistet. Die meisten heißen xxx Android Device xxx

Geht bei Amazon genau so.
Hab ich jetzt auch nicht gefunden.

Bei Geräten steht bei mir auch nur der Kindle, die derzeit aktive Browsersitzung beispielsweise wird gar nicht angezeigt.

Wirkt, als hätten sie da beim Wechsel von reinem Versandhandel zur Streamingplattform etwas die anderen Sicherheitsanforderungen verschlafen. Aber wenn diese Probleme jetzt vermehrt auftauchen dürfte es nur eine Frage der Zeit sein, bis sich das weit genug rumspricht um Amazon zum Handen zu bringen.

Einen Knopf für alles gibts nicht. Accountbeschiss Gans schon immer, das ist nichts Neues.

Was ich die letzten Tage an Threads finde :)

@TS:

Handy Hersteller?

PS: Ich warte die Antwort besser nicht ab :)
Deine Daten wurden wahrscheinlich von Deinem Android Smartphone gestohlen. Wahrscheinlich eine App die Du aus dem Playstore installiert hast. Mit Deinen Daten wurde sich dann bei Amazon angemeldet über ein anderes Android Gerät, kein Smartphone. Dieses Gerät kann sich dann ohne PW anmelden, weil es einen permanenten Auth hat.

Ist leider kein Hexenwerk :(
Ich habe mich btw. auch mal gewundert wie die Kinder meiner Ex Freundin über ein Jahr nach unserer Trennung Filme bei Amazon Video kaufen konnten obwohl das PW mehrmals gewechselt wurde.
Die Antwort ist: Android

Gestern wieder mit dem Kundenservice telefoniert und dem mal wieder die ganze Story erzählt und die Info von Reddit weitergegeben. Der Mitarbeiter war sehr bemüht und verständnisvoll aber konnte mein Problem auch nur aufnehmen und weiterleiten, jetzt warte ich nochmal einen Tag ab. Sollte wieder nichts dabei raus kommen, werde ich mich an heise wenden.

Was wurde denn verabredet?

Was wurde denn verabredet?
Im Grunde nichts, weil der First Level Support keinerlei Befugnis hat. Die haben irgendein Formular was dann an eine weitere Abteilung geleitet wird und das war's. Ob sich dann bei mir jemand meldet oder nicht oder das Thema weiter behandelt wird, da haben die keinerlei Einfluss.

So, ich hatte nun auch den ersten Fremdzugriff auf meinem Konto. Frage an dieser Stelle:

1. Android: Gibt es Software zum Scannen nach Schädlingen oder reichen Standardmittel beim Samsung S9+?

2. Selbige Frage zum Windows PC.

Danke euch!

Was ich die letzten Tage an Threads finde :)

@TS:

Handy Hersteller?

PS: Ich warte die Antwort besser nicht ab :)
Deine Daten wurden wahrscheinlich von Deinem Android Smartphone gestohlen. Wahrscheinlich eine App die Du aus dem Playstore installiert hast. Mit Deinen Daten wurde sich dann bei Amazon angemeldet über ein anderes Android Gerät, kein Smartphone. Dieses Gerät kann sich dann ohne PW anmelden, weil es einen permanenten Auth hat.

Ist leider kein Hexenwerk :(
Ich habe mich btw. auch mal gewundert wie die Kinder meiner Ex Freundin über ein Jahr nach unserer Trennung Filme bei Amazon Video kaufen konnten obwohl das PW mehrmals gewechselt wurde.
Die Antwort ist: Android
Kann man das herausfinden ob es am Handy lag? Falls ja, gibt's da eine sichere Lösung um das Problem loszuwerden? Habe irgendwie auch mein Samsung oder Smart TV im Verdacht...

Es gibt auf der Amazon Seite eine Seite (lol) wo die authentifizierten Geräte gelistet sind. Bei mir war es damals sehr einfach, da ich anhand der Titel eindeutig den Sohn meiner Ex Freundin zuordnen konnte. War nach einem Telefonat aus der Welt, sie hat den Account im TV ausgetauscht. Ich würde auf der Amazon Seite alle Geräte deaktivieren (und checken ob der Zugriff daher gekommen sein kein) und ggf. hier im Forum die Android Spezis fragen wie man das Gerät (Dein Handy) scannen und ggf. retten kann.

Noch Mal zum mitschreiben. Auf der Seite werden mitunter nicht alle Geräte aufgelistet. Auch der Firstlevel Support bei Amazon sieht nicht alle und muss das weiter eskalieren. Hartnäckig dran bleiben und dem Support auch diesen Thread mit auf den Weg geben.

Noch Mal zum mitschreiben. Auf der Seite werden mitunter nicht alle Geräte aufgelistet. Auch der Firstlevel Support bei Amazon sieht nicht alle und muss das weiter eskalieren. Hartnäckig dran bleiben und dem Support auch diesen Thread mit auf den Weg geben.
Ist mir heute auch aufgefallen. Mein tv war z.b. nicht gelistet.

Ist mir heute auch aufgefallen. Mein tv war z.b. nicht gelistet.
Ich weiss nicht warum sich die leute wundern, wenn sie meinen sich ständig mit relevanten credentials an wirklich allen sinnvollen oder nicht sinnvollen Geräten anmelden zu muessen. Gerade an so geraeten wie TVs (die nun wirklich nicht fuer besonders gute securitypflege bekannt sind), absolute idiotie. In einem IT affinen Forum noch erschreckender. Als ob man bei einem solchen Benutzerverhalten noch Huawei bräuchte um daten abzugreifen...

Ich weiss nicht warum sich die leute wundern, wenn sie meinen sich ständig mit relevanten credentials an wirklich allen sinnvollen oder nicht sinnvollen Geräten anmelden zu muessen. Gerade an so geraeten wie TVs (die nun wirklich nicht fuer besonders gute securitypflege bekannt sind), absolute idiotie. In einem IT affinen Forum noch erschreckender. Als ob man bei einem solchen Benutzerverhalten noch Huawei bräuchte um daten abzugreifen...

Zum einen ist das eigentliche Problem nicht das eigene angemeldete TV Gerät und zum anderen: wie soll man prime am TV schauen ohne das Gerät anzumelden?

Zum einen ist das eigentliche Problem nicht das eigene angemeldete TV Gerät und zum anderen: wie soll man prime am TV schauen ohne das Gerät anzumelden?
Aeh zum Beispiel indem man ueber ein Geraet streamt? Ich zumindest tue dies bei allen Streaming diensten (amazon prime hingegen interessiert mich wumpe): Ich starte den Stream in aller regel ueber den PC, in sehr seltenen Fällen uber ein Tablet, und streame auf den Fernseher. Entweder direkt via LAN oder ueber chromecast. Das dabei meine credentials uebertragen waere mir neu.

Ein streamingdienst der das nicht erlauben wuerde waere fuer mich ein absolutes nogo. Wenn Amazon das setup nicht zulaesst, waere das lächerlich.
Auf die Idee mich direkt via TV anzumelden wuerde ich niemals kommen.

Interessant. Ein ChromeCast ist ja auch nur ein Android Gerät. Was passiert beim Start eines Amazon oder Netflix Streams? Da müssten die Credentials doch auch an den ChromeCast übermittelt werden, damit sich das einloggt und startet - oder nicht?

Interessant. Ein ChromeCast ist ja auch nur ein Android Gerät. Was passiert beim Start eines Amazon oder Netflix Streams? Da müssten die Credentials doch auch an den ChromeCast übermittelt werden, damit sich das einloggt und startet - oder nicht?
Nein? Der stream selbst laeuft auf dem main device (zum beispiel PC). Der entsprechende Tab wird einfach an den Chromcast device gestreamt. Den login erledigt man sinnigerweise vor dem connect zu chromecast.

Nein? Der stream selbst laeuft auf dem main device (zum beispiel PC). Der entsprechende Tab wird einfach an den Chromcast device gestreamt. Den login erledigt man sinnigerweise vor dem connect zu chromecast.
Ist das auch auf Android Devices so?
Ich kann ja sogar mein Handy aus schalten, während der Stream läuft ...

Da hat GSRX leider die Funktion des Chromecast missverstanden. Das Steuergerät macht gar nichts mehr, wenn der Chromecast den Stream abspielt.

Vom Steuergerät, z. B. Tablet oder Smartphone, werden nur URLs und Steuerdaten (z. B. Pausierung, Lautstärkenänderung) als "Commands" zum Stick übertragen (außer bei Offline-Inhalten). Dieser holt die Quelle über die WLAN-Verbindung vom Internet oder dem lokalen Netzwerk. Die Übertragung eines beliebigen Bildschirminhaltes oder verschiedener Anwendungen zugleich ist nicht möglich. Im strengen Sinn handelt es sich nicht um ein Streaming-Protokoll.

Ist das auch auf Android Devices so?
Ich kann ja sogar mein Handy aus schalten, während der Stream läuft ...

Bei Android devices wird meistens tatsaechlich eine verbindung mit einer anmeldung an den anbieter aufgebaut. Allerdings kannst du das auch verhindern indem du eben explizit nur den tab streamen laesst. Dann ist es dasselbe wie beim stream vom pc aus ohne anmeldung beim anbieter ueber den PC. alternativ verwendung von 3rd party tools wie zum beispiel local cast.
Wie gesagt, tablet ist aber eh nur die notloesung. Eigentlich nutze ich immer pc oder notebook als streaming source.
Die credentials direkt im tv einzugeben faende ich absurd.

Hm - könnte dann nicht auch so ein ChromeCast ein Sicherheitsrisiko sein, wenn die Credentials da darauf liegen? Oder findet das Login immer vom Main-Device statt und dann werden nur Session-IDs o.ä. vom ChromeCast verwendet?

Da hat GSRX leider die Funktion des Chromecast missverstanden. Das Steuergerät macht gar nichts mehr, wenn der Chromecast den Stream abspielt.
Falsch.
Wenn du explizit nur den tab streamst, bleibt der pc das steuerelement. Alternativ: 3rd party tools.
Entscheidend ist der punkt: du gibst deine credentials nicht am tv ein. Und speicherst den auch nicht wie die meisten bequemen im tv.

Hm - könnte dann nicht auch so ein ChromeCast ein Sicherheitsrisiko sein, wenn die Credentials da darauf liegen? Oder findet das Login immer vom Main-Device statt und dann werden nur Session-IDs o.ä. vom ChromeCast verwendet?

Letzteres. Das muss die App aber unterstützen. Deswegen kann man auch nicht alles per Chromecast nutzen. Sky Go funktioniert z.b. nicht.

@gsrx: du sprichst von Screen mirroring und das kann der Anbieter auch unterbinden, wenn er denn möchte.

Hm - könnte dann nicht auch so ein ChromeCast ein Sicherheitsrisiko sein, wenn die Credentials da darauf liegen? Oder findet das Login immer vom Main-Device statt und dann werden nur Session-IDs o.ä. vom ChromeCast verwendet?

Exakt letzteres. Wenn der dienst direkt das nicht zulaesst, dann ueber 3rd party tools.

Letzteres. Das muss die App aber unterstützen. Deswegen kann man auch nicht alles per Chromecast nutzen. Sky Go funktioniert z.b. nicht.
Korrekt. Deshalb kommt ein solcher dienst fuer mich nicht in frage. Mit DAZN zum beispiel funktioniert es so wie ich moechte.

Ok, danke. Dann die spannende Frage um BTT zu kommen: Wie macht das Amazon Prime? Speichern von Account-Daten oder nur Session?

Und wieder OT: ;)
Und wie ist es bei Netflix?

Pauschal würde ich sagen, dass alles was nicht direkt aus dem Browser als Screen Mirroring läuft, die Daten an den CC weitergibt. Kann aber auch falsch sein. Die Google Home API könnte da auch nur entsprechende Uris zur Verfügung stellen mit denen der CC dann arbeitet. Müsste man Mal in die Doku schauen.

Ich weiss nicht warum sich die leute wundern, wenn sie meinen sich ständig mit relevanten credentials an wirklich allen sinnvollen oder nicht sinnvollen Geräten anmelden zu muessen. Gerade an so geraeten wie TVs (die nun wirklich nicht fuer besonders gute securitypflege bekannt sind), absolute idiotie. In einem IT affinen Forum noch erschreckender. Als ob man bei einem solchen Benutzerverhalten noch Huawei bräuchte um daten abzugreifen...
Ganz einfach - ich bin den Großteil des Tages nicht zu Hause und meine Frau ist, sagen wir mal, technisch nicht begabt. Möchte aber gerne Prime auf dem TV schauen.

Zweiter Punkt: Der zusätzliche Stromverbrauch durch den PC ist einfach unnötig.

Ganz einfach - ich bin den Großteil des Tages nicht zu Hause und meine Frau ist, sagen wir mal, technisch nicht begabt. Möchte aber gerne Prime auf dem TV schauen.

Zweiter Punkt: Der zusätzliche Stromverbrauch durch den PC ist einfach unnötig.

Nagut. Wenn du deine prioritaeten so setzt und wider besseres wissen deine zugaenge in unsichere und vunurable systeme eingibst und speicherst, dann ist das eben dein ding, dann verstehe ich aber deine verwunderung nicht? Wenn du deine zugaenge faktisch der welt zur verfuegung stellst, worueber bist du überrascht?

Zum einen ist das eigentliche Problem nicht das eigene angemeldete TV Gerät und zum anderen: wie soll man prime am TV schauen ohne das Gerät anzumelden?

Ich packe im Urlaub immer meinen eigenen Fire TV Stick ein. ;) Wiegt ja nichts.

Nagut. Wenn du deine prioritaeten so setzt und wider besseres wissen deine zugaenge in unsichere und vunurable systeme eingibst und speicherst, dann ist das eben dein ding, dann verstehe ich aber deine verwunderung nicht? Wenn du deine zugaenge faktisch der welt zur verfuegung stellst, worueber bist du überrascht?

Eigentlich kann es einem doch egal sein, da man in keinem Fall einen Schaden hat und Amazon alle Vorgänge aus einem Fremdzugriff bereinigt.

war ja klar dass so eine antwort kommt. habe es erwartet, als ich die zeile schrieb. 100e millionen menschen auf der welt streamen mit ihren smart tvs aber gsxr schließt ein zweites gerät an einen fernseher zum streamen an :ugly:

firetv für urlaub ist ja in ordnung aber warum sollte ich ein smart tv kaufen und trotzdem andere einspieler kaufen die a) geld kosten und b) zusätzlichen strom ziehen. als nächstes stellt man sich noch einen dieselgenerator auf den balkon weil ja der strom nächstes jahr ausfällt.

Eigentlich kann es einem doch egal sein, da man in keinem Fall einen Schaden hat und Amazon alle Vorgänge aus einem Fremdzugriff bereinigt.
Wenn du das nachweisen kannst vielleicht. Nur wuerd ich mich darauf nicht verlassen. Mit der argumentation koennte ich uebrigens auch meine kreditkartenzugaenge mit der ganzen welt teilen .weil ich kann ja jeder abbuchung widersprechen und auf drittzugriff verweisen.
Merkste was?

Wenn du das nachweisen kannst vielleicht. Nur wuerd ich mich darauf nicht verlassen. Mit der argumentation koennte ich uebrigens auch meine kreditkartenzugaenge mit der ganzen welt teilen .weil ich kann ja jeder abbuchung widersprechen und auf drittzugriff verweisen.
Merkste was?

Ja, könnte man. Ich habe auch nur Festgestellt, dass Amazon es bei einem Fremdzugriff so handhabt.

BTW: Meine Kreditkartendaten wurden schonmal missbraucht, da wurden ungefähr 20 Premiumzugänge für Pornoseiten bezahlt. 19 wurden als Fremdzugriff erkannt. Bei einer musste ich gegenüber Mastercard eine Versicherung an Eidesstatt abgeben, dass ich diese Zahlung nicht veranlasst habe. Soviel zum Thema bei einer Kreditkarte könnte man jeder Abbuchung einfach widersprechen. Das geht lediglich bei Lastschriftzahlungen

Ja, könnte man. Ich habe auch nur Festgestellt, dass Amazon es bei einem Fremdzugriff so handhabt.

BTW: Meine Kreditkartendaten wurden schonmal missbraucht, da wurden ungefähr 20 Premiumzugänge für Pornoseiten bezahlt. 19 wurden als Fremdzugriff erkannt. Bei einer musste ich gegenüber Mastercard eine Versicherung an Eidesstatt abgeben, dass ich diese Zahlung nicht veranlasst habe. Soviel zum Thema bei einer Kreditkarte könnte man jeder Abbuchung einfach widersprechen. Das geht lediglich bei Lastschriftzahlungen


Wenn du das risiko eingehen magst und letztlich auf kulanz hoffen, tu dir keinen zwang an. Wenn du das fuer zielfuehrend haelst...

Und ich weiss nicht welchen kk anbieter du so nutzt. Aber ich kann grundsaetzlich jeder belastung auf meiner kreditkarte widersprechen. Ob der stattgegeben wird haengt letztlich von meiner begruendung und ggf der kulanz des anbieters ab. Ich sehe jetzt den von dir unterstellten widerspruch nicht?

Ich unterstelle nix und kann auch verstehen dass du der Nutzung von Apps auf Smart-TVs skeptisch gegenüber bist, denn Sicherheitsmäßig sind die unter aller Kanone... Aber ehrlich: Ein anderes vermeintlich sicheres Gerät um einen Stream auf einen TV zu übertragen, obwohl es dort eine App gäbe? Komm schon ist das nicht etwas übertrieben? Der Mensch ist und bleibt Faul, was wäre die Welt ohne Sicherheitsrisikos? :ulol:

Ich unterstelle nix und kann auch verstehen dass du der Nutzung von Apps auf Smart-TVs skeptisch gegenüber bist, denn Sicherheitsmäßig sind die unter aller Kanone... Aber ehrlich: Ein anderes vermeintlich sicheres Gerät um einen Stream auf einen TV zu übertragen, obwohl es dort eine App gäbe? Komm schon ist das nicht etwas übertrieben? Der Mensch ist und bleibt Faul, was wäre die Welt ohne Sicherheitsrisikos? :ulol:

Ich weiss nicht ob das uebertrieben ist. Ehrlich gesagt waere mir nie in den sinn gekommen, auf meinem TV eine app zu nutzen bei dem ich meine zugangsdaten eingeben muesste. Fuer mich ist das streaming vom pc das eigentlich naheliegende, weil ich das generell mit allen mediendaten im haushalt so mache?
In sofern ist eigentlich das von dir beschriebene fuer mich das absurde.
Ehrlich? Ich weiss nicht mal fuer welche streamingdienste apps auf meinem smarttv installiert sind. Nachinstalliert hab ich auch nie welche. Offen gesagt nutze ich die "smartfunktionen" so gut wie garnicht.

sorry für die leichenfledderei aber kam hier eigentlich noch was verwertbares raus?