Keine Kontoabruf möglich wegen Amazon Security Alert
Closed this issue · 11 comments
Beim Abruf der Kontoumsätze erhalte ich die Meldung, dass mein Passwort vom Server als ungültig abgewiesen wurde.
Zeitgleich bekomme ich von Amazon folgende Sicherheitsmeldung (per Push und SMS):
Amazon: Sign-in attempt from BY, DE. Tap link to respond.
Hinter dem Link verbirgt sich dann folgende Website, auf welcher ich den Anmeldeversuch genehmigen kann (leider zu spät für die Extension, die an diesem Punkt schon "aufgegeben" hat).
Das sieht nicht nach dem 2FA per SMS wie ich es einstellen kann aus. Dort bekommt man die OTP zugeschickt ohne einen Link.
Wie aktiviert man dieses Authorizationverfahren?
Wie sieht der Login-Prozess im Browser aus?
In der Console (Entwicklerumgebung) des Browsers folgende Kommandos eingeben:
$x('//form')
Das Ergebnis sollte so ähnlich aussehen:
und
$x('//input[@type!="hidden"]')
Ergebnis:
Ich habe bei Amazon keine Zwei-Schritt-Verifizierung (Ihr Konto › Anmelden und Sicherheit › Einstellungen für die Zwei-Schritt-Verifizierung (2SV)) aktiviert. Jedenfalls nicht explizit, sollte das aber wohl mal tun.
Wenn ich mich in einem Inkognito-Fenster bei Amazon anmelde bekomme ich folgende Seite angezeigt und ebenfalls einen Link per SMS zugeschickt, auf welchem ich den Login genehmigen oder ablehnen kann. Nach der Genehmigung werde ich automatisch wieder zur Startseite von Amazon weitergeleitet.
Ich habe das Plugin erst entdeckt und habe den ersten Abruf auf zwei verschiedene Amzn Konten hinbekommen. Ca. 250 und 340 Transaktionen.
Sobald ich aber die Konten aktualisieren möchte, bekommen ich auch eine Aufforderung, das Passwort neu einzugeben. Das alte wäre ungültig.
@fazzer4x Habe Dein Problem nach #23 verschoben.
@marcelbrueckner
Okay, jetzt habe ich den Loginprozess verstanden und konnte ihn sogar provozieren:
2FA deaktivieren und über Tor bei Amazon anmelden. Dann kommt diese Art der Anmeldung, auch auf den anderen "Endgeräten". Es ist offensichtlich eine Sicherheitsmaßnahme seitens Amazon in die Du reinläufst.
Einfache Abhilfe ist es das 2FA Verfahren zu starten, dann wird wie gewohnt der OTP abgefragt. Ist das eine akzeptable Lösung für Dich?
Ich habe 2FA aktiviert und nun erscheint auch nach der Passworteingabe wie erwartet die Abfrage des zweiten Faktors. MoneyMoney ist jetzt jedenfalls erstmal eine Weile beschäftigt 😅 Vielen Dank @Michael-Beutling.
Hallo, irgendwie klappt das mit dem Anmelden bei mir auch nicht mehr.
Konfiguration: Amazon Account mit one time password über 1password.
Klappte bei der Einrichtung wunderbar. gab bei mir bisher keine Änderung des Passworts. jetzt möchte das Script das ich. mich neu anmelde und es geht nicht.
Ich gehe auf Konto aktualisieren, werde werde nach dem Passwort gefragt.
Wenn ich nochmal gefragt werden, habe ich einmal das OTP und einmal das Passwort probiert, beides führt dazu das ich ein Captcha ausfüllen soll, und anschliessend wird der Loginvorgang abgelehnt.
Eine Information seitens Amazon über diesen Vorgang per Mail hab ich nicht bekommen
Hallo,
probier mal unter "Ihr Konto › Anmelden und Sicherheit › Einstellungen für die Zwei-Schritt-Verifizierung (2SV)" den Button "Codes auf allen Geräten verlangen"
Wie läuft der Anmeldeprozess im Browser, wenn alle Cookies vorher gelöscht wurden?
Der Button war ausgegraut.
Versuche ich den Zugriff im Privat Browser Modus auf Amazon so erhalte ich auch das Captcha (mit Passwortabfrage)
danach das OTP. (also 3 Abfragefenster).
Diese Informationen bekomme ich mit dem LUA Script aktuell ja nicht eingegeben.
Update: Mittlerweile hat Amazon mich 3 mal gebeten mein Passwort zu ändern... ...
Die Anzahl der Captcha's und 2FA Abfragen und Reihenfolge sollte egal sein.
Schalte mal bitte 2FA ab und wieder ein. IMHO hat Amazon irgendwann mal ein neues 2FA Verfahren eingeführt, evtl ist bei Dir noch das alte Verfahren aktiv.
Bei mir kommt neben der normalen 2FA Abfrage kein Captcha, wenn ich mich im privaten Modus (Firefox) anmelde. Kann das also im Moment nicht nachvollziehen.
Beim Abruf der Kontoumsätze erhalte ich die Meldung, dass mein Passwort vom Server als ungültig abgewiesen wurde.
Zeitgleich bekomme ich von Amazon folgende Sicherheitsmeldung (per Push und SMS):
Amazon: Sign-in attempt from BY, DE. Tap link to respond.
Hinter dem Link verbirgt sich dann folgende Website, auf welcher ich den Anmeldeversuch genehmigen kann (leider zu spät für die Extension, die an diesem Punkt schon "aufgegeben" hat).
Da laufe ich auch rein. Es scheint so zu sein, dass mehrfache Abrufe des Kontos innerhalb einer Zeitspanne (wie lange?) derart überprüft abgefragt werden, wahrscheinlich wegen Fraud-Detection. Wenn man sich hier bspw im Browser anmeldet und auf dem Zweitgerät die Anmeldung bestätigt, geht der Browser automatisch weiter. Das ist bei MoneyMoney nicht möglich, bzw das Script wartet das nicht ab.
Die 2FA Authentifiziertung klappt bei mir wohl aus einem anderen Grund nicht, aber die Probleme scheinen alle daher zu rühren, dass Amazon "ungewöhnliches" Verhalten versucht abzufangen. Jetzt bräucht man eine Doku-Wiki-Sammlung was es für Prozesse bei Amazon gibt, wieder "jungräulich" zu starten, ohne dass diese Extra-Anfragen kommen.
Vorerst geht es dort #25 weiter, es gibt eine unsignierte Version im Master zum ausprobieren.