BOMBA

Wired mostra caos na Amazon

19/11/2021 11:04

Matéria revela cenário chocante de falta de cuidado com dados na gigante do varejo americano.

Matéria mostrou o lado escuro da Amazon. Foto: Pexels.

Tamanho da fonte: -A+A

A administração de dados de usuários e a segurança da informação no geral são um verdadeiro caos na Amazon.

É o resumo que fica de uma longa matéria da Wired, que teve acesso a documentos internos da gigante do varejo de entre 2015 e 2018 e falou com ex-funcionários, pintando um cenário bastante desolador.

A revelação mais escandalosa da reportagem é que funcionários de baixo nível hierárquico da empresa tinham acesso ao histórico de compras de qualquer cliente, um privilégio que usavam para fuçar na vida de celebridades como o rapper Kayne West ou simplesmente ex-cônjuges. 

Um dos funcionários ouvidos pela Wired disse que colegas viram o histórico de compras de uma celebridade que havia comprado vibradores, num exemplo particularmente constrangedor.

A revista conversou com o Gary Gagnon, que foi VP do time de segurança da informação da Amazon e afirma na matéria que encontrou um quadro “chocante”.

“Era tudo um juntado com fita e chiclete”, resumiu Gagnon para a Wired, falando sobre a imensa rede da Amazon e sua composição por diferentes tipos de software.

De acordo com Gagnon, todos com acesso na rede tinham acesso a quase tudo e não existiam programas internos para prevenir o mau uso dos dados, ou uma maneira sistêmica de lidar com riscos.

Segundo o ex-VP, o time de 300 profissionais na área de segurança da informação deveria ter o triplo do tamanho, o que levava à sobrecarga e falta de cuidado com os dados.

De acordo com a Wired, nesse período a Amazon tinha 24 milhões de números e nomes de cartões de crédito expostos na sua rede interna, fora da "área segura" onde deveriam ficar dados relativos a pagamentos.

Os logs de acesso a esses dados eram limitados a 90 dias, então não foi possível saber se alguém havia acessado a informação antes disso. 

Além da falta de políticas de controle de acesso, o problema de fundo era a proliferação descontrolada de repositórios de dados.

De acordo com a matéria da Wired, 3,3 mil times internos da Amazon tinham acesso à informação, e muitos tinham o hábito de copiar os dados e armazená-los fora da rede. 

Em 2016, o time de segurança tentou fazer um mapeamento completo da localização dos dados da empresa - e não conseguiu. Em outro memorando interno, a área aponta uma “enervante incapacidade de detectar incidentes de segurança”.

É importante manter em perspectiva o volume de dados da Amazon na época.

Segundo informações dos memorandos vistos pela Wired, o total chegava a 50 mil terabytes de informação, o que era o maior banco de dados em Oracle do mundo, quase 1 mil vezes maior que o segundo lugar, pelas contas da Amazon.

As próprias avaliações internas mostravam o tamanho do problema. 

A divisão de segurança elencou os principais riscos aos quais a Amazon estava exposta, cada um deles com três pontuações diferentes de um a cinco: quão negativamente o incidente afetaria a companhia, o quão provável era que fosse acontecer e que capacidade a empresa teria de controlar a situação então.

O risco número era de que vazamentos de dados acontecessem sem serem notados, devido a "detecção limitada, fatiga de alertas e esforços manuais".

De acordo com a avaliação interna, o impacto, a probabilidade era muito alta e o time não tinha nenhum controle. Nota 5 nas três categorias, risco máximo.

A Amazon se posicionou em nota, afirmando que a empresa tem um “histórico excepcional de proteção de dados de clientes” e investiu bilhões de dólares ao longo anos para criar sistemas e processos para manter os dados seguros.

A empresa rejeita a afirmação que a prática de bisbilhotar dados de clientes fosse comum e que a mera existência de tantos memorandos sobre o assunto, fonte principal da Wired, é prova da preocupação da empresa com o tema.

Veja também

TELECOM
Inatel sofre ataque de ransomware

Parte do conteúdo do instituto foi criptografado e um dos backups, deletado.

COSMÉTICOS
Hinode migra e-commerce para VTEX IO

Projeto foi realizado com a Enext, consultoria paulistana especializada no segmento.

CENÁRIO
Segurança X UX

Resolver esse atrito é o grande desafio para o Brasil em 2022.

VAZAMENTO
Dados da MoIP à venda

Empresa pertence à PagSeguro desde o ano passado. Em nota, PagSeguro tenta conter o dano de imagem.

ATAQUE
Atento admite vazamento de dados

Empresa reconheceu que informações "comerciais e financeiras" estão na Internet.

NOMES
Tenchi traz ex-Google e Apple

Capitalizada, startup de segurança vem reforçando o time.