Dziurawy gigant. Pracownicy Amazona ujawniają, jak firma lekceważy luki w ochronie danych

Amazon ma problem z danymi użytkowników i najpewniej nie potrafi albo zwyczajnie nie chce dopilnować bezpieczeństwa gromadzonych informacji. A zbiera je w niewyobrażalnych ilościach, wchodząc w coraz to nowe obszary naszego życia. Wysocy rangą pracownicy giganta wskazują dziury, przez które mogą wyciekać informacje o setkach milionów użytkowników. Oparty o ich informacje reportaż śledczy opublikował portal Politico. Niebawem z podobnymi problemami możemy mierzyć się w Polsce. Firma Jeffa Bezosa właśnie weszła bowiem na nasz rynek ze swoją platformą sprzedażową

Amazon jest dziś najsilniejszym zawodnikiem w wyścigu po dane użytkowników internetu. Dzięki temu, że z jego platformy sprzedażowej, produktów reklamowych i rozrywkowych czy chmury Amazon Web Services korzysta cały świat, gromadzi niewyobrażalną wręcz ilość informacji.

Dane sprzedawców, dane klientów, historia zamówień, informacje o płatnościach, informacje zebrane przez systemy reklamowe Amazona – to wszystko, zdaniem rozmówców Politico, bardzo łatwo może wpaść w niepowołane ręce. I zostać bezwzględnie wykorzystanych przez złodziei, naciągaczy czy biznesową konkurencję. Portal powołuje się na rozmowy z trzema wysokich rangą pracowników Amazona, którzy przedstawiają listę zaniedbań firmy w obszarze bezpieczeństwa danych.

Ich opowieści składają się na obraz kultury korporacyjnej Amazona, gdzie wzrost firmy jest ważniejszy od bezpieczeństwa danych użytkowników i losu pracowników zatrudnionych po to, by wskazywać na zagrożenia – pisze Politico.

Według rozmówców portalu wrażliwe informacje o milionach ludzi i firm są zagrożone, ponieważ Amazon „słabo się orientuje”, jakie dane posiada, gdzie są przechowywane i kto ma do nich dostęp.

Amazon rozwijał się tak szybko, że nie wie, czym dysponuje. Nie wiedzą, gdzie są zebrane przez nich dane, więc nie wiedzą, czy chronią je prawidłowo – tłumaczy jeden z informatorów portalu.

Przykład? Zdaniem rozmówców Politico bardzo trudne jest wyegzekwowanie od Amazona, wynikającego m.in. z unijnych regulacji, prawa do usunięcia danych, czyli „prawa do bycia zapomnianym”.

Byłoby bowiem prawie niemożliwe, aby Amazon zidentyfikował wszystkie miejsca, w których znajdują się twoje dane w ich systemie – twierdzi były pracownik firmy.

Informatorzy Politico twierdzą, że znaleźli „setki tysięcy kont” przypisanych do byłych pracowników firmy. Mimo, że nie mają oni już nic wspólnego z Amazonem, wciąż posiadają dostęp do zgromadzonych przez giganta danych.

Idźmy dalej. Jeden z rozmówców portalu twierdzi, że w 2014 roku zgłosił niezabezpieczony protokół szyfrowania płatności. W 2016 i 2018 roku miał robić to ponownie i dopiero wówczas błąd został naprawiony. W wewnętrznej notatce dla pracowników tłumaczono, że gdyby próbowano rozwiązać problem na czas, trzeba byłoby wstrzymać płatności na wielu rynkach rozwijających się.

Według wewnętrznych raportów bezpieczeństwa z 2016 i 2017 roku, które miał przedstawić dziennikarzom Politico jeden z byłych pracowników Amazona, firma przyznawała, że udaje jej się załatać jedynie między 55 a 70 procent dziur w swoich systemach. Biorąc pod uwagę skalę biznesu Amazona informacje te muszą jeżyć włos na głowie.

Inna wewnętrzna notatka, z czerwca 2018 roku, ma potwierdzać, że istnieje „bardzo wysokie” prawdopodobieństwo wysokich strat finansowych i reputacyjnych z powodu „niezdolności firmy do zidentyfikowania niepożądanych zdarzeń [w obszarze ochrony danych – red.]”.

Jakość kontroli wdrożonych przez Amazon jest przerażająca – mówi Politico jeden z ważnych pracowników odpowiedzialnych za bezpieczeństwo danych w firmie Jeffa Bezosa. Według portalu chodzi jednak nie tylko o jakość zabezpieczeń. Problemy zgłaszane przez pracowników miały być bowiem tuszowane a procedury obchodzone. Na przykład dane potrzebne do nowych projektów były nieprawidłowo klasyfikowane po to, by nie musiały przejść przez wszystkie kontrole wewnętrzne. Obcinano też fundusze na inicjatywy zmierzające do poprawy zabezpieczeń.

Zdaniem Politico dokumenty i raporty kwartalne przesłane do kadry kierowniczej wyższego szczebla, w tym Jeffa Wilke, dyrektora generalnego Amazon czy dyrektora finansowego Briana Olsavsky’ego przedstawiały ryzyka i luki związane z ochroną danych. Miały być wśród nich zdarzenia i problemy opisywane przez rozmówców portalu. Nic to nie zmieniło, a pracownicy podnoszący alarm byli odsuwani od obowiązków lub wypychani z firmy.

Wydaje się dziwne, że firma, dla której gromadzenie i przetwarzanie danych jest głównym biznesem stosuje tak kiepskie praktyki – komentuje na łamach Politico Garfield Benjamin, brytyjski naukowiec i autor tekstów dotyczących Amazonowych dziur w ochronie danych. Pyta on: – Czy ich pycha jest tak wielka a domniemana moc tak niepodważalna, że uważają się za całkowicie nietykalnych?

Politico przypomina również, że Luksemburg, gdzie mieści się europejska centrala Amazona, nie ukarał do tej pory giganta żadną grzywną za naruszenie przepisów RODO.

Wysokie kary nie są naszym celem. Jest nim zmiana kultury – powiedział szef tamtejszego Biura Ochrony Danych Marc Lemmer.

Przedstawiciele Amazona zaprzeczają informacjom podanym przez Politico.

Utrzymanie zaufania naszych klientów poprzez ochronę ich prywatności i zapewnienie bezpieczeństwa ich danych jest od dawna najwyższym priorytetem Amazon. Niedokładne, bezpodstawne stwierdzenia [zawarte w tekście Politico – red.] nie odzwierciedlają naszego zaangażowania w ochronę danych osobowych – skomentował rzecznik firmy. Jaką politykę przyjmą wobec Amazona polskie instytucje odpowiedzialne za przestrzeganie przepisów o danych osobowych i ochronę konsumentów? Przekonamy się pewnie już niebawem. Wiadomo, że do wejścia giganta przygotowywała się od dawna UOKiK. - Urząd na bieżąco analizuje rozwój związany z tematyką możliwego naruszenia konkurencji przez przedsiębiorców wykorzystujących model platform internetowych. Urząd współpracuje z Komisja Europejską oraz krajowymi orangami ochrony konkurencji m.in. w ramach Europejskiej Sieci Konkurencji, w celu wypracowania wspólnego podejścia do tej tematyki – przekazało nam pod koniec grudnia ub. r. biuro prasowe urzędu. Zadaliśmy w tej sprawie pytania także przedstawicielom Urzędu Ochrony Danych Osobowych. Do czasu publikacji tego artykułu odpowiedź nie nadeszła.

PF

Źródło – Politico.eu