Серверы Amazon принимают неверные пароли для некоторых клиентских учётных записей. Эту проблему обнаружили коллеги из heise Security. Один из читателей в поле с паролем случайно ввёл его дважды и нажал кнопку "Next", после чего был успешно авторизован в системе. Узнав об этом, сотрудники издательства решили изучить эту проблему поподробнее. Всего 30 сотрудников пробовали воспроизвести проблему со своими учётными записями Amazon.
Некоторые не без успеха: четыре сотрудника смогли войти в систему, введя несколько лишних символов после своего настоящего пароля. Пароли читателя, обнаружившего проблему, и трёх сотрудников с проблемными аккаунтами состояли ровно из 8 символов. В случае с четвёртым сотрудником дело обстояло несколько иначе. Его пароль состоял из 11 символов, однако он смог войти в Amazon, использовав всего лишь первые 8 символов. Последние три символа для удачного входа не потребовались. Предположительно, при создании учётной записи Amazon сохраняет лишь первые 8 символов введённого пароля.
Получается, что в лучшем случае Amazon создаёт хэш на основе лишь первых 8 символов и хранит его в базе данных. В худшем случае пароли могут храниться в открытом виде. Поскольку проблема воспроизводится лишь при определённых условиях и ей подвержены не все учётные записи, о причинах этого "феномена" можно лишь догадываться. На отправленный heise запрос пресс-служба Amazon.de пока не ответила.
Всем пользователям, имеющим пароли длиной 8 или 11 символов, коллеги из heise Security рекомендуют проверить свою учётную запись. Если обнаружится, что ваш аккаунт подвержен данной проблеме, то на всякий случай рекомендуется поменять пароль. Обнаруженная проблема касается не только немецкого магазина Amazon, но также и Amazon.fr, Amazon.co.uk и Amazon.com, поскольку они все используют единую базу данных с учётными записями пользователей.
Как сообщает heise online, проблемы с паролями в Amazon существуют уже давно. Ещё в январе 2011 года издание сообщало, что на сайт Amazon.de можно войти, используя неправильный регистр букв, например, используя PASSWORD вместо password.