Heute, gegen 13 Uhr ist folgende Mail eingetrudelt:
Guten Tag,
ein wichtiges Sicherheitsupdate ist jetzt für Ihre Amazon Pay-Integration mit Shopware verfügbar. Dieses Update beinhaltet erweiterte Sicherheitsmaßnahmen, um sowohl Ihr Unternehmen als auch Ihre Kunden während des Bezahlvorgangs zu schützen.
Wir empfehlen Ihnen dringend, das Update für Ihre Integration zu installieren, um sicherzustellen, dass Sie über die neuesten Sicherheitsfunktionen verfügen. Die Installation wird Ihre bestehenden Amazon Pay-Abläufe nicht beeinträchtigen.
So aktualisieren Sie Ihre Integration:
Laden Sie die neueste Plugin-Version herunter
Testen Sie das Update in der Sandbox-Umgebung, bevor Sie es in der Produktionsumgebung aktivieren
Bei Fragen zu diesem Sicherheitsupdate wenden Sie sich bitte an den Amazon Pay-Händlersupport.
Ihr Amazon Pay Team
Wenn das so ein wichtiges Update ist, warum wird es nicht im Backend und nich im Plugin Store angeboten?
Ich dachte deshalb erst, es wäre vielleicht ein Fake, aber die Mail scheint echt zu sein.
Wenn es spezifisch für eine bestimmte Version wäre, dann müsste es einen entsprechenden Verionshinweis mit aktuellem Datum im Changelog des Plugin-Stores geben.
Da ist aber als letztes Datum der 27. Juni 2025 genannt.
Die Mail sieht dennoch echt aus und ging auch an eine spezifische Mailadresse.
Also, der Link in der Mail leitet zum Amazon-Pay Pluging für Shopware 6.x im Shopware Store. Im Changelog steht bei keiner der letzen Versionen etwas von einem Sicherheitsupdate.
Das letzte Update war, wie bereits erwähnt vom 27.06.25 für Version 6.6.x und für Version 6.7.x vom 16.05.25.
Wurde die Mail wirklich zu früh versendet oder was?
Die Mail ist tatsaechlich echt und nur etwas ungluecklich formuliert. Das Update, auf das sie sich bezieht, ist das vom 20.01.2025 - also:
fuer Shopware 6.4 auf Plugin-Version 8.1.0
fuer Shopware 6.5 auf Plugin-Version 9.3.0
fuer Shopware 6.6 auf Plugin-Version 10.2.0
fuer Shopware 6.7 war nie ein Update noetig
Wir haben damals in Absprache mit Amazon den Changelog-Eintrag absichtlich unauffaellig als “Verhindern des Checkouts mit geänderter Adresse” formuliert, um niemanden auf Ideen zu bringen.
Tatsaechlich ging es auch nicht um ein Sicherheitsupdate im klassischen Sinn, um Datenzugriff zu verhindern, sondern um eine Betrugsmasche namens “Reshipping-Fraud”. Kurz gesagt war es moeglich, dass Betrueger mit gestohlenen Amazon-Konten Ware bestellen konnten, der eigentliche Konto-Inhaber dann die Zahlung zurueckgebucht hat und der Haendler auf den Kosten sitzen geblieben ist. Das wurde mit dem Update technisch unterbunden.
Wenn ihr noch Fragen dazu habt: Jederzeit gern!
Viele Gruesse
Marcus
PS: Ich habe dazu auch gestern Nachmittag an die Abonnenten unserer Mailingliste geschrieben. Falls ihr solche Infos erhalten wollt, tragt euch gern ein: Form
(keine Werbung, nur relevante Infos zu Amazon Pay fuer Shopware 6)
Das natuerlich schon - aber man muss sie aus dem Amazon Adressbuch waehlen - das ist der regulaere Weg, den es auch vor dem Update gab. Man konnte bis dahin aber ueber Tricks auch eine Adresse angeben, die nicht im Amazon Pay Adressbuch steht
Das sollte eigenlich natuerlich nicht passieren, wenn sie wirklich zu 100% identisch sind. Falls das bei dir trotzdem vorgekommen ist, kann ich mir das gern aus der Naehe ansehen. Das sollten wir dann vielleicht besser per Mail besprechen.
