В новом отчете рассказывается о неспособности Amazon защитить данные

Обширная розничная империя Amazon переполнена данными, и, судя по опубликованному в четверг отчету, плотину, по—видимому, довольно легко прорвать. Центр журналистских расследований и технологическое издание Wired проанализировали документы Amazon, которые выявили критический сбой в защите информации потребителей и продавцов на платформе. Рядовые сотрудники, как сообщается, имели доступ к большому количеству информации об учетных записях, что приводило к случаям слежки, а также взяточничества со стороны внешних злоумышленников, стремившихся проникнуть в учетные записи продавцов и подделать продукты.

В одном из таких случаев компания, известная как Krasr, которую CNBC в 2017 году идентифицировал как Мохаммеда Мултазима Акбара Али из Торонто, нацелилась на продавца средств по уходу за кожей Pure Daily Care. В служебной записке отмечалось, что Krasr установил контакты с помощью LinkedIn и Facebook и заплатил им в общей сложности 160 000 долларов в течение нескольких лет.

Amazon поймала и уволила семь сотрудников, вовлеченных в эту схему. В ответ на запрос WWD о комментариях пресс-секретарь Amazon Джен Бемисдерфер пояснила, что компания “передала информацию о Krasr в правоохранительные органы в 2018 году, как мы поступаем всякий раз, когда выявляем мошеннические действия, затрагивающие наших клиентов.

Как только нам стало известно об этой вредоносной активности, мы удалили связанные с ней учетные записи продавцов, и мы продолжим принудительно удалять учетные записи продавцов, которые имеют отношение к Мохаммеду Мултазиму Акбару Али, если что-либо из этого всплывет в будущем”.

Возможно, не так уж важно, правильно ли отреагировал Amazon, поскольку одно дело — поймать кого-то постфактум. Выявление системных проблем, которые в первую очередь привели к нарушениям, — это совсем другое. В последнем отчете подразделение, ответственное за защиту данных клиентов в сфере розничной торговли, характеризовалось как перегруженное, недоукомплектованное персоналом и деморализованное, отчасти из-за частой смены руководства и огромного объема информации, которую ему было поручено защищать. Между тем, Amazon, стремясь к своей миссии “быть самой клиентоориентированной компанией на Земле”, как сообщается, предоставила сотрудникам огромную свободу действий для доступа к данным клиентов.

Гибкость означала, что сотрудники низкого уровня могли подглядывать за покупательскими привычками известных людей, брать взятки у недобросовестных продавцов за информацию о конкурентах, подделывать обзоры торговых площадок и многое другое, говорится в отчете. Миллионы учетных записей кредитных карт оказались уязвимыми, и служба безопасности не смогла определить, был ли к ним незаконный доступ.

По всей видимости, китайская компания, занимающаяся обработкой данных, собрала информацию от миллионов клиентов. Amazon, похоже, считает, что нет смысла копаться в старых источниках. По словам Бемисдерфера, “заявления, сделанные в статье Wired, основаны на устаревшей информации, вырванной из контекста, и не имеют абсолютно никакого отношения к текущей позиции Amazon в области безопасности. ”Компания инвестирует миллиарды долларов в защиту данных, — отметила она, — и находится в состоянии постоянной работы по укреплению своих систем. Это включает в себя поощрение сотрудников к быстрому решению проблем, — сказала она, — что может привести к завышению или неправильной оценке риска.

Она считает, что это нормально, поскольку позволяет выявлять и устранять проблемы как можно быстрее. Но самые большие пробелы в безопасности, как правило, связаны с человеческими факторами, а не с техническими. Как Amazon подходит к этому аспекту, пока неизвестно. Бемисдерфер отметила, что, учитывая тщательное документирование и анализ проблем конфиденциальности и безопасности Amazon, компания проявляет бдительность в выявлении потенциальных рисков, их эскалации и реагировании на них. “Объективный анализ фактов привел бы к такому же выводу”, — добавила она. “К сожалению, Wired использовала другой подход к этой истории и вместо этого представила заранее подготовленный сюжет, чтобы представить Amazon и наш подход к безопасности в негативном свете”.