Alles, was ein Kunde für die Lieferung direkt ins Haus auch in seiner Abwesenheit benötigt, ist ein Abo von Amazon Prime, die hauseigene Cloud Cam als Überwachungskamera und ein smartes Türschloss von Yale oder Kwikset. Der Empfänger kann die Auslieferung seines Pakets dann bei Bedarf live beobachten und auch nachschauen, wie der Bote das Haus wieder verlässt.
Wie Ars Technica von der Sicherheitsfirma Rhino Labs erfahren hat, gibt es zwischen der Auslieferung des Pakets und der Verriegelung der Tür eine gravierende Sicherheitslücke in Amazons System: Der Fahrer oder ein Dritter können mit einer App den WLAN-Router anweisen, die Cloud Cam vom Netz zu nehmen, die dann das letzte Bild statisch zeigt. Dann ließe sich das Haus unbemerkt nach Wertgegenständen durchsuchen und hinterher die Kamera wieder einschalten und die Tür verschließen.
Der Paketbote kann normalerweise per Amazon Key Zugang zum Haus des Paketempfängers bekommen, wenn dieser nicht da ist. Das funktioniert nur, wenn auch eine Lieferung zu dieser Zeit vorgesehen ist, sich der Fahrer identifiziert hat und auch noch auf Video festgehalten wird. Am Ende muss der Fahrer die Tür wieder verschließen, sonst kann er den Vorgang nicht beenden.
Amazons erste Reaktion auf die Schwachstelle im neuen Dienst war, ein Update anzukündigen, das längere Offline-Phasen der Kamera dem Besitzer meldet. Damit ließen sich Vorfälle allerdings nicht verhindern und kleinere Diebstähle könnten erst viel später auffallen. Eine unangenehme Situation sowohl für Kunden als auch für Amazons Lieferanten, die so schnell in Verdacht geraten, selbst wenn Dinge auf ganz andere Weise verschwinden.