近期3位不願透露姓名的前亞馬遜高級資訊安全雇員向《政治家》(POLITICO)新聞網透露,亞馬遜對所收集的大量客戶數據缺乏保護措施,亞馬遜系統的安全漏洞把用戶數據置於被入侵、被盜竊和被利用的危險邊緣。他們認為,亞馬遜存在並不清楚客戶數據儲存在哪裡,對系統信息的安全管理混亂、不重視保護客戶數據安全等問題。
這3位亞馬遜前員工中有1人曾是駐歐盟公司的資訊安全雇員,另外2人是曾經駐美國公司的資訊安全雇員,以下分別用歐盟信息雇員、美信息雇員甲和美信息雇員乙表示。
亞馬遜不清楚客戶數據儲存在哪裡
POLITICO今年2月24日報導說,根據美信息雇員甲和乙的說法,亞馬遜客戶數據存在風險,是因為亞馬遜並不清楚自己擁有哪些數據、數據存儲在哪裡以及誰可以訪問這些數據。
「如果你想要『被遺忘權』,那都不可能,因為亞馬遜幾乎不可能確定你的數據在他們系統中的任何位置」,美信息雇員甲說。然而,根據包括歐洲和加州的一些隱私制度,被遺忘或被刪除數據的權利對公民來說具有非常關鍵的作用。
美信息雇員乙證實,亞馬遜對其持有的大量個人信息並不了解。他說:「亞馬遜發展的太快了,以至於它不知道自己擁有什麼……他們不知道自己的數據在哪裡,所以他們(也)不清楚自己是否正確地保護了這些數據」。
「你有成千上萬的……接觸大數據的團隊,你應該有一種方法來跟蹤所有不同類型的數據。從技術的角度來看,你需要知道數據的去向以及如何保護它們。可是,(實際上)卻不是這樣的」,美信息雇員乙說。
系統管理混亂不相關的人未被限制訪問系統權限
美信息雇員甲表示:「亞馬遜對系統(管理)控制質量令人震驚。我們發現成千上萬帳戶上的員工已經不在亞馬遜了,但他們仍然有系統訪問權限」。他還表示:「根據我的經驗和我過去的經歷,大部分人都不會認為亞馬遜的資訊技術的基本(管理)控制是合格的……管理很差」。
美信息雇員乙也指出,亞馬遜未必能正確控制管理對系統的訪問,而且,在一家員工人數已超過100萬的公司,大量的個人信息可以被不具有相關責任的人訪問。他還指出,像亞馬遜這樣的公司應該擁有頂級的數據安全保護,因為「亞馬遜稍有失誤,就會損失數十萬甚至數百萬用戶的數據。」
POLITICO報導表示,管理不善意味著亞馬遜公司甚至可能檢測不到黑客攻擊。有一名前員工看到的2018年6月亞馬遜的一份內部備忘錄認為,由於公司「無法識別敵對事件」,公司面臨的重大財務損失或聲譽損害的可能性「非常高」。
POLITICO報導強調,所提到的三名亞馬遜前資訊安全雇員當中的一人曾看到,亞馬遜在2016年至2017年的內部安全報告中宣稱,它正在設法為55%至70%的系統打補丁。美信息雇員甲將此形容為一處「開著幾扇窗戶和門的房子」(a house with several windows and doors open)。
美信息雇員甲表示對POLITICO新聞網說:「想像一下,像亞馬遜這樣規模的公司遭到入侵會是什麼情況?那是數以百萬計的個人身份信息處於危險之中」。
亞馬遜公司管理層拒絕資訊安全員的報告
2018年5月25日歐洲正式全面施行《通用數據保護條例》(GDPR)。如果違反例該條例,如發生大型數據泄漏事件或收集用戶數據事件等,企業最高可面臨全球營業額4%的罰款。
POLITICO根據亞馬遜前雇員的反映報導說,直到2018年4月下旬,也就是該規定生效前幾周,亞馬遜才在資訊安全部門成立了一個專門團隊來應對新規定。美信息雇員對此表示:「這家公司(亞馬遜)落後得很可悲」。
據兩名前信息雇員說,早在2018年5月的最後期限之前,駐歐盟信息雇員和其他人就曾多次嘗試報告強調,亞馬遜具有違反通用數據保護風險及合規差距,但都被拒絕退回了。
據稱,發給高級主管的文件和季度報告列出了公司面臨的違反GDPR的風險和漏洞,報告對許多問題都進行了詳細介紹。這些文件發給了亞馬遜全球消費者業務執行長傑夫·威爾克(Jeff Wilke)、法律總顧問大衛·扎波爾斯基(David Zapolsky)和財務長布萊恩·奧爾薩夫斯基(Brian Olsavsky)。
反映問題的員工遭報復被離職
據POLITICO報導,接受該新聞網採訪的每一位亞馬遜前雇員都表示,由於對公司的數據安全狀況或遵守規定的能力表示擔憂,他們已經被邊緣化或最終被迫離職。而且,在試圖通過多種途徑強調他們的擔憂後,對他們的報復行動加劇了。
這三名員工都表示,他們覺得自己被排除在外,邊緣化了,這樣他們就不能再提出問題,他們甚至不能在亞馬遜的治理模式中履行控制管理職能。他們發現自己不被邀請參加會議,沒有被要求寫報告,或者得不到確切信息。
美信息雇員乙說,他們這些反映問題的人或被派去從事低於他們工資級別的項目,與他們被聘用的職位沒有太大關係,或者被告知停止從事存在問題的項目等等。
POLITICO指出,美信息雇員乙的這些說法,與POLITICO看到的法律文件中記載的另一名雇員的描述如出一轍。
美信息雇員甲也認為,亞馬遜正在「系統地根除」那些提出合規問題的人。
亞馬遜發言人則表聲稱,沒有員工因為擔心數據安全合規問題而離開公司。這些指控似乎來自於那些在公司有持續的出現問題並決定離開的員工。
據悉,駐歐盟信息雇員目前正在盧森堡一家法院就離職條款進行法律訴訟。
英國學者也提到過亞馬遜信息管理存在安全問題
POLITICO報導表示,英國學者加菲爾德·班傑明(Garfield Benjamin)曾在撰寫過的關於亞馬遜隱私漏洞的文章中說,該公司「無視隱私和安全」表明存在「大問題」。
班傑明在向POLITICO展示其調查結果時強調:「這看起來很奇怪——不幸的是,這太普遍了——一家如此熱衷於將數據作為主要業務的公司,竟然會有如此糟糕的做法」。他說:「難道他們如此傲慢、如此狂妄自大,他們甚至自以為擁有的權力如此無懈可擊,以至於他們認為自己是完全不可被侵犯的嗎?」
亞馬遜數據落入危險者手中的後果
由於擁有通過其電子商務平台、在線廣告業務和其龐大的雲端運算系統和亞馬遜網絡服務(Amazon Web Services)收集的大量客戶信息,在數據方面亞馬遜是大型科技公司中最強大的玩家之一。
亞馬遜擁有的數據包括訂單歷史記錄、支付信息、通過其廣告業務收集的數據,對於其平台上的賣家,需要提供的身份證明等等。
一旦這些數據落入危險者手中,就會被用來對網上發行的東西勒索贖金、用來欺騙客戶及用來登錄其他在線帳戶;這些數據在網絡釣魚攻擊中發揮槓桿作用,被竊取的數據被用來欺騙受害者支付費用或泄露更敏感的信息。
