Amazon-Tochter Zappos gehackt

Zappos, ein Tochterunternehmen des Online-Händlers Amazon, ist Opfer eines Hackangriffes geworden. Bisher unbekannten Tätern gelang es auf die im US-Bundesstaat Kentucky liegenden Server des Online-Händlers zuzugreifen. Dabei erschlichen sich die Täter den Zugang zu den persönliche Daten von rund 24 Millionen registrierten US-Kunden. Wie viele Daten tatsächlich abgegriffen wurden, ist noch nicht geklärt.

Wie Sprecher des Online-Bekleidungshändlers mitteilten, wurden dabei Namen, Adressen, E-Mail-Adressen, Rechnungs- und Lieferadressen, Telefonnummern und die letzten vier Ziffern der Kreditkartennummern gestohlen. Andere Zahlungsinformationen blieben allerdings unbehelligt, da sie auf anderen Servern hinterlegt sind.

Zappos beteuert, dass die Passwörter verschlüsselt in der Datenbank liegen. Ob aber die Hashes durch zufällig gewählte Zeichenfolgen "gesalzen" und damit besonders geschützt waren, ist noch nicht bekannt. Bei der Generierung eines Passworts würde das dort verwendete Salt zusammen mit dem entstandenen Hashwert in einer Datenbank gespeichert, sodass Angriffe deutlich mehr Aufwand erfordern würden.

Nach Entdeckung des Angriffs hat das Unternehmen sofort sämtliche Kundenpasswörter gesperrt. Außerdem wurden alle Kunden per E-Mail über den Einbruch informiert und aufgefordert, ein neues Passwort einzugeben. Sollte das gleiche Passwort auch für andere Webdienste genutzt werden, sollte es auch dort geändert werden.

Noch gibt es keine näheren Informationen über die Sicherheitslücke, die diesen Hack ermöglichte. Dass europäische Kunden betroffen sind, gilt als unwahrscheinlich, da Zappos seine Waren nur in den USA versendet.