Amazon-Pay - wichtiges Sicherheitsupdate (?)

Heute, gegen 13 Uhr ist folgende Mail eingetrudelt:

Guten Tag,

ein wichtiges Sicherheitsupdate ist jetzt für Ihre Amazon Pay-Integration mit Shopware verfügbar. Dieses Update beinhaltet erweiterte Sicherheitsmaßnahmen, um sowohl Ihr Unternehmen als auch Ihre Kunden während des Bezahlvorgangs zu schützen.

Wir empfehlen Ihnen dringend, das Update für Ihre Integration zu installieren, um sicherzustellen, dass Sie über die neuesten Sicherheitsfunktionen verfügen. Die Installation wird Ihre bestehenden Amazon Pay-Abläufe nicht beeinträchtigen.

So aktualisieren Sie Ihre Integration:

  1. Laden Sie die neueste Plugin-Version herunter

  2. Testen Sie das Update in der Sandbox-Umgebung, bevor Sie es in der Produktionsumgebung aktivieren

Bei Fragen zu diesem Sicherheitsupdate wenden Sie sich bitte an den Amazon Pay-Händlersupport.

Ihr Amazon Pay Team

Wenn das so ein wichtiges Update ist, warum wird es nicht im Backend und nich im Plugin Store angeboten?
Ich dachte deshalb erst, es wäre vielleicht ein Fake, aber die Mail scheint echt zu sein.

Vielleicht ist das Update nur für spezifische Shopware-Versionen?

Da die Shopware dem Text nach nicht von Shopware selbst stammt, wurde diese ggf. zu früh verschickt – oder sie ist doch fake?

@shopware14 welche Shopware-Version hast du?

6.7.1.2

Wenn es spezifisch für eine bestimmte Version wäre, dann müsste es einen entsprechenden Verionshinweis mit aktuellem Datum im Changelog des Plugin-Stores geben.

Da ist aber als letztes Datum der 27. Juni 2025 genannt.

Die Mail sieht dennoch echt aus und ging auch an eine spezifische Mailadresse.

Also, der Link in der Mail leitet zum Amazon-Pay Pluging für Shopware 6.x im Shopware Store. Im Changelog steht bei keiner der letzen Versionen etwas von einem Sicherheitsupdate.

Das letzte Update war, wie bereits erwähnt vom 27.06.25 für Version 6.6.x und für Version 6.7.x vom 16.05.25.

Wurde die Mail wirklich zu früh versendet oder was?

Ich versuche bei Shopware Informationen zu erlangen.

Die E-Mail Adresse an die gesendet wurde ist einzigartig und wird nur zur internen Kommunikation mit Amazon-Pay verwendet.

Außerdem wird in der Mail auf das Plugin im Shopware Store verlinkt.

@marcus.kreusch weißt du etwas über die E-Mail?

1 „Gefällt mir“

Hallo zusammen :waving_hand:

@UX4U Danke fuers Verlinken!

Die Mail ist tatsaechlich echt und nur etwas ungluecklich formuliert. Das Update, auf das sie sich bezieht, ist das vom 20.01.2025 - also:

  • fuer Shopware 6.4 auf Plugin-Version 8.1.0
  • fuer Shopware 6.5 auf Plugin-Version 9.3.0
  • fuer Shopware 6.6 auf Plugin-Version 10.2.0
  • fuer Shopware 6.7 war nie ein Update noetig

Wir haben damals in Absprache mit Amazon den Changelog-Eintrag absichtlich unauffaellig als “Verhindern des Checkouts mit geänderter Adresse” formuliert, um niemanden auf Ideen zu bringen.

Tatsaechlich ging es auch nicht um ein Sicherheitsupdate im klassischen Sinn, um Datenzugriff zu verhindern, sondern um eine Betrugsmasche namens “Reshipping-Fraud”. Kurz gesagt war es moeglich, dass Betrueger mit gestohlenen Amazon-Konten Ware bestellen konnten, der eigentliche Konto-Inhaber dann die Zahlung zurueckgebucht hat und der Haendler auf den Kosten sitzen geblieben ist. Das wurde mit dem Update technisch unterbunden.

Wenn ihr noch Fragen dazu habt: Jederzeit gern!

Viele Gruesse
Marcus

PS: Ich habe dazu auch gestern Nachmittag an die Abonnenten unserer Mailingliste geschrieben. Falls ihr solche Infos erhalten wollt, tragt euch gern ein: Form
(keine Werbung, nur relevante Infos zu Amazon Pay fuer Shopware 6)

1 „Gefällt mir“

Kann man durch das Update bei Zahlung über Amazon Pay keine von der Rechnungsadresse abweichende Lieferadresse eingeben?

Warum werden bei Zahlungen über Amazon Pay zwei Adressen angelegt, auch wenn Rechnungs- und Lieferadresse gleich sind?

Hallo @UX4U :waving_hand:

Das natuerlich schon - aber man muss sie aus dem Amazon Adressbuch waehlen - das ist der regulaere Weg, den es auch vor dem Update gab. Man konnte bis dahin aber ueber Tricks auch eine Adresse angeben, die nicht im Amazon Pay Adressbuch steht :supervillain:

Das sollte eigenlich natuerlich nicht passieren, wenn sie wirklich zu 100% identisch sind. Falls das bei dir trotzdem vorgekommen ist, kann ich mir das gern aus der Naehe ansehen. Das sollten wir dann vielleicht besser per Mail besprechen.

Viele Gruesse
Marcus