Matéria mostrou o lado escuro da Amazon. Foto: Pexels.
A istração de dados de usuários e a segurança da informação no geral são um verdadeiro caos na Amazon.
É o resumo que fica de uma longa matéria da Wired, que teve o a documentos internos da gigante do varejo de entre 2015 e 2018 e falou com ex-funcionários, pintando um cenário bastante desolador.
A revelação mais escandalosa da reportagem é que funcionários de baixo nível hierárquico da empresa tinham o ao histórico de compras de qualquer cliente, um privilégio que usavam para fuçar na vida de celebridades como o rapper Kayne West ou simplesmente ex-cônjuges.
Um dos funcionários ouvidos pela Wired disse que colegas viram o histórico de compras de uma celebridade que havia comprado vibradores, num exemplo particularmente constrangedor.
A revista conversou com o Gary Gagnon, que foi VP do time de segurança da informação da Amazon e afirma na matéria que encontrou um quadro “chocante”.
“Era tudo um juntado com fita e chiclete”, resumiu Gagnon para a Wired, falando sobre a imensa rede da Amazon e sua composição por diferentes tipos de software.
De acordo com Gagnon, todos com o na rede tinham o a quase tudo e não existiam programas internos para prevenir o mau uso dos dados, ou uma maneira sistêmica de lidar com riscos.
Segundo o ex-VP, o time de 300 profissionais na área de segurança da informação deveria ter o triplo do tamanho, o que levava à sobrecarga e falta de cuidado com os dados.
De acordo com a Wired, nesse período a Amazon tinha 24 milhões de números e nomes de cartões de crédito expostos na sua rede interna, fora da "área segura" onde deveriam ficar dados relativos a pagamentos.
Os logs de o a esses dados eram limitados a 90 dias, então não foi possível saber se alguém havia ado a informação antes disso.
Além da falta de políticas de controle de o, o problema de fundo era a proliferação descontrolada de repositórios de dados.
De acordo com a matéria da Wired, 3,3 mil times internos da Amazon tinham o à informação, e muitos tinham o hábito de copiar os dados e armazená-los fora da rede.
Em 2016, o time de segurança tentou fazer um mapeamento completo da localização dos dados da empresa - e não conseguiu. Em outro memorando interno, a área aponta uma “enervante incapacidade de detectar incidentes de segurança”.
É importante manter em perspectiva o volume de dados da Amazon na época.
Segundo informações dos memorandos vistos pela Wired, o total chegava a 50 mil terabytes de informação, o que era o maior banco de dados em Oracle do mundo, quase 1 mil vezes maior que o segundo lugar, pelas contas da Amazon.
As próprias avaliações internas mostravam o tamanho do problema.
A divisão de segurança elencou os principais riscos aos quais a Amazon estava exposta, cada um deles com três pontuações diferentes de um a cinco: quão negativamente o incidente afetaria a companhia, o quão provável era que fosse acontecer e que capacidade a empresa teria de controlar a situação então.
O risco número era de que vazamentos de dados acontecessem sem serem notados, devido a "detecção limitada, fatiga de alertas e esforços manuais".
De acordo com a avaliação interna, o impacto, a probabilidade era muito alta e o time não tinha nenhum controle. Nota 5 nas três categorias, risco máximo.
A Amazon se posicionou em nota, afirmando que a empresa tem um “histórico excepcional de proteção de dados de clientes” e investiu bilhões de dólares ao longo anos para criar sistemas e processos para manter os dados seguros.
A empresa rejeita a afirmação que a prática de bisbilhotar dados de clientes fosse comum e que a mera existência de tantos memorandos sobre o assunto, fonte principal da Wired, é prova da preocupação da empresa com o tema.
Maurício Renner 5wt6n
Editor at Baguete Diário