亚马逊的黑暗秘密 - 数据安全与隐私保护“最佳实践”

本文是Reveal和WIRED的一份调查报告，该报告指出亚马逊的数据安全与隐私保护存在系统性缺陷，亚马逊信息安全部门内部混乱动荡，部门负责人更替频繁，导致工作连续性严重受损；部门预算、人手严重不足，许多重要项目推进缓慢；自动化安全监控工具投入明显不足，主要依靠老旧的人工检测机制。高层管理对安全问题重视不够，数据泄露和内部滥用事件屡禁不止，但治理进展缓慢。员工权限管理混乱也导致用户隐私数据极易在公司内部扩散。

该报告全文超过40多页，笔者人工整理了一下主要内容，然后用GPT进行了总结，如下：

根据文档，可以总结出亚马逊公司在数据安全和隐私保护方面存在诸多问题：

1.员工权限管理存在严重漏洞，大量员工可以代表用户进行交易、获取敏感信息。2010年和2015年的内部审计就发现了这一问题，但一直没有得到有效解决。

2.用户支付数据和其他敏感信息曝光给了数以万计的员工，存在严重的泄露风险。2017年，2400万用户的信用卡信息就这样暴露了两年之久。

3.自动化安全监测系统极为薄弱，主要依赖人工报告问题。这导致问题识别和响应严重滞后，许多攻击可能在网络中存留数年而未被发现。

4.信息安全部门严重缺乏投入，高管承诺与实际需求严重失衡。关键项目和工具因预算不足而难以推进。

5.安全部门组织运转混乱，上下级不信任，内部团队之间缺乏协作。部门负责人更替频繁导致工作断层。

6.最高管理层没有将数据安全作为企业发展的重中之重，导致问题难以得到高效解决。

7.2018年以来，安全部门内部评估认为泄密事件未被发现、系统可见性缺失、凭证保护不力等都是极高风险，但治理进展缓慢。

8.前几年:一位客户服务代表滥用系统获取一位女性客户的私人信息。

9.过去: 第三方卖家试图贿赂员工获取数据。

10.最近:两名员工滥用权限访问用户数据被解雇。

11.长期以来:软件工程师持有高权限账户和后门访问。

12.当前:亚马逊内部存在对安全问题的广泛担忧。

13.文章最后更新于2022年12月。

所以可以看出，文章所提到的各种网络安全事件发生的时间跨度很广，从几年前一直到最近（2015 - 2020年）。综上所述，这类问题在亚马逊公司内部已经存在并发生了很长一段时间，不是最近才凸显出来的。

部分内容翻译如下，

亚马逊的安全团队曾多次提醒公司不断吞并新子公司并将它们纳入公司网络的风险，但他们的警告并没有引起太大关注。在短短一周内，经过匆忙的联姻后，一家信用卡处理公司First Data的一名分析员给亚马逊的一名员工打来了一个不祥的消息。一家乌克兰经纪人刚刚在暗网上放出了一些可能表明Whole Foods存在漏洞的信用卡数据。

亚马逊的安全部门迅速采取行动，通知了Whole Foods并展开了调查。在接下来的几周里，该团队确定了一群臭名昭著的乌克兰网络犯罪分子自一月以来一直存在于Whole Foods公司网络的某些部分。攻击者掌控了20个拥有强大访问权限的员工帐户。攻击者深入到了整个网络，以至于负责处理这次漏洞的Whole Foods团队不得不迁移到一个完全不同的电子邮件系统，以免被黑客窥探，根据内部备忘录。

安全部门一旦驱逐了攻击者，亚马逊通知了顾客，称黑客窃取了在该超市连锁店内一些餐馆和啤酒屋内购物时的信用卡详细信息。黑客并未从Whole Foods跳到更大的亚马逊网络，但这仍然是一个不好的情况。这次漏洞登上了头条新闻。

由于客户忠诚度和信任度受到威胁，这次漏洞本可以成为甘农争取在安全方面获得更多投资的机会。但他并未在公司待太久。在Whole Foods漏洞发生后的一个月，也就是2017年10月，甘农和其他一些员工飞往伦敦参加ZonCon，亚马逊邀请制的信息安全会议，这是一个团队建设和招聘的活动。甘农并没有完成整个会议。

他的命运在该活动演讲者的一次私人晚宴上被决定。确切发生了什么存在争议，但甘农再也没有回到亚马逊工作。他说，第二天，他被拉入了一次与西雅图的特雷德韦尔的视频通话，后者告诉他离开会议并飞回家。甘农回到美国后说，他被告知伦敦发生的事情是“不可原谅的”，但并没有得到任何额外的细节。他在接下来的一周被解雇，公司证实了这一点。

无论实际发生了什么，对于该部门来说，结果就是更多的不稳定。“我们回到了‘蝇王’的状态，”一位前亚马逊安全经理说道。“简直是一场糟糕的表演。” 不到一年的时间，团队再次失去了领导。由于高层混乱，其他高级员工和经理也纷纷离职，导致团队混乱不堪，缺乏机构记忆。

前员工表示，项目被搁置了，安全在高层会议中失去了最有力的支持者。该部门的团队将自己封闭起来，有时互相争斗，并且没有战略愿景地运作。随着搜索的拖延，一些员工开始想知道为什么这么难找到新的负责人。“我们很长时间都找不到合适的人选。”哈文斯说，“我觉得消息已经传开了，在这个安全领域里并不是一个容易工作的地方。”

当没有安全经验的新安全主管杰夫·卡特在2018年7月准备向高管提交他的首份季度报告时，他首先描述了安全部门仍然狼狈不堪的状况。“通过各种管理变动，信息安全组织内的团队之间的信任关系出现了破裂，这影响了团队合作、士气、生产力和员工保留，”他在备忘录中写道。虽然亚马逊的其他方面似乎在呈指数级增长，但安全部门失去了更多人。在345名员工中，比预算人数少了100人。

卡特接着发出了许多他的前任们发出的相同警报：亚马逊仍然不知道所有数据的具体位置。公司仍然远远没有足够的能力自动检测威胁。而且公司仍然给予员工过多对敏感客户数据的访问权限。不同之处在于，对于卡特来说，亚马逊员工可能带来的危险，正如他所说的“一名流氓员工滥用内部系统为自己谋取私利的能力”，现在已经成为一个鲜活的现实。而随着2018年的推移，这种情况只会变得更加丑陋。

“在亚马逊内部，用户个人数据如江水般流淌。”

亚马逊并没有加入这个隐私组织，但亚马逊的云计算部门Amazon Web Services后来加入了。一位曾参与让公司做好迎接GDPR（通用数据保护条例）的前亚马逊律师认为，德沃尔声称公司设计产品时考虑了隐私是不准确的。当时，“亚马逊并没有有效的控制措施来限制公司内部用户个人数据，包括敏感数据的访问和分享，”该律师表示。“在亚马逊内部，用户个人数据就像江水一样自由流动。”

在亚马逊内部，隐私员工担心公司可能陷入自己的隐私丑闻的冰山之中。毕竟，亚马逊甚至都没有采取多少措施来避开一个巨大的冰川，这个冰川就在它面前横亘：欧洲的新隐私法规，威胁着数百万美元的罚款。最终，在2018年5月25日执法截止日期前仅有五周的时候，“决定被做出”成立一个隐私团队，以帮助这家全球最大的在线零售商适应新法律，根据2018年7月的一份信息安全备忘录。

在五月底的某一天，亚马逊的风险情报团队偶然发现了一个看起来可疑的服务，这个服务提供给亚马逊的第三方卖家——一个业务方案，以某些方面的方式获取亚马逊数据，有些方面让人联想起Facebook的剑桥分析丑闻。这个名为AMZReview的服务宣传自己是帮助卖家提升在亚马逊平台上的排名的方式，并声称拥有数百万亚马逊客户的详细信息。随着团队的调查，他们发现了一个令人不安的真相，即AMZReview团队如何获取所有那些客户数据的：根据一份详细团队发现的备忘录草案，亚马逊曾经同意向他们提供这些数据。

在过去的几个月里，Reveal和WIRED审查了一些亚马逊信息安全负责人为提交给当时担任亚马逊全球消费业务首席执行官的杰夫·威尔克（Jeff Wilke）以及总法律顾问大卫·扎波尔斯基（David Zapolsky）和首席财务官布赖恩·奥萨夫斯基（Brian Olsavsky）准备的机密六页文件。这篇报道部分基于那些备忘录，以及自2015年起追溯到现在的许多其他内部亚马逊文件和通信，还包括与十多名前亚马逊数据安全和隐私员工进行的采访。其中很多人匿名发言是因为他们担心遭受报复、声誉损害或者法律威胁而敞开说话。

综合这些来源，可以看出亚马逊的数据安全问题在2018年不断积累，随着公司的发展而增加。它们还揭示了，在很多方面，该部门所面临的巨大挑战源于亚马逊所珍视的文化准则，并与其帮助促进的世界级增长密切相关。

在一份电子邮件声明中，亚马逊发言人詹·贝米斯德弗表示公司“在保护客户数据方面有着卓越的记录”，并指出这些内部文件是其强大文化的体现。“事实上，亚马逊关于隐私和安全问题进行了广泛记录，并得到高层领导团队广泛审查，突显了我们对这些问题的承诺，并展示了我们识别、提升和应对潜在风险时持之以恒的警惕性。”她写道：“多年来，我们投入数十亿美元建立系统和流程以确保数据安全，并不断寻求改进。”

在早期二十年间，像许多公司一样，亚马逊将其数据存储外包给第三方承包商Oracle。但到2010年代中期时，在那里建立起来的亚马逊数据仓库已经膨胀成为世界上最大的Oracle数据库，根据亚马逊的估计，其规模是其他任何数据库的1000倍之多。它存储了惊人的50000太字节（terabytes）信息。

早在2015年，亚马逊的高管们就意识到员工广泛的访问权限是一个问题。但窥视好奇只是他们最不担心的事情。那一年，根据Politico EU首次报道的内部审计发现，成千上万名员工有能力“伪造”卖家账户——其中很多人拥有查看客户订单历史和发出退款等秘密密钥的权限，就像他们是供应商一样。根据审计师的结论，其中2.3万人不应该被授予所有这些权力。亚马逊告诉Politico说，像任何公司一样，它会对其政策进行合规性审计，并根据这些发现进行改进。但2010年的一项审计得出了类似的结论，并且问题仍然存在。正如后来一份备忘录所说，“亚马逊系统允许员工代表亚马逊客户快速处理事务，但同时也使这些客户面临因为员工和承包商滥用或无意中泄露而产生风险。” 但从某种程度上说，亚马逊最棘手、最脆弱之处之一就是信息安全部门本身——以及它如何缺乏装备、功能失调和漂泊无定，即使专门的安全人员在困难重重的情况下也能表现出英勇行为。2016年3月，该部门的长期负责人乔治·斯塔萨科普洛斯离职去了苹果公司工作，这导致团队陷入数月的停滞。但该部门的动荡将比那更深入，并持续时间更长。

亚马逊表示“永远不会为了成本而牺牲安全性。”但在加尼翁看来，对信息安全的投资是有限的：“预算与需求不匹配。”一些前安全人员也对这个部门的紧缩感表示赞同。“我会告诉新员工，‘假设你的预算是零，然后从那里开始。尽量节俭，’”曾任安全部门业务运营经理的埃莉·哈文斯说。

2017年8月份给威尔克写了一个六页纸之后，加尼翁列举了许多风险，这些风险源于亚马逊快速增长和他所负责的安全部门资源匮乏。连接到亚马逊系统上的新设备不断被发现，并没有一个集中管理系统来跟踪它们；仓库计算机安全无法跟上如火如荼建立起来的新履行中心；每年都要将支付处理扩展到多个新国家，而安全部门则难以跟进。

在所有这些扩张过程中，加尼翁写道，在漏洞中出现了惊人之事。就在那年五月份，工作人员发现，在两年时间内高达2400万名顾客的姓名和美国运通卡号在亚马逊内部网络上暴露，而不是在支付数据的“安全区域”之外。这就好像一家银行意识到有些现金袋子被遗留在后办公室里，离保险库还有几个季度。问题得到了纠正，但最可怕的是，在那段时间里无法确定是否有人窥探过支付凭证——因为该数据集的访问日志只能追溯90天。“所以我们根本不知道实际曝光情况如何。”加尼翁回忆说，“我对此感到惊讶。”（贝米斯德弗表示：“没有证据表明数据曾以任何方式泄露到我们内部系统之外。”）

加尼翁在备忘录中总结出一个更基本的问题困扰着亚马逊：“我们缺乏对待保护数据所负责内容的可见性，”他写道，“我们并不系统地了解敏感数据流动和存储位置。”

最后，亚马逊将另一位领导者调入了高级信息安全职位——这个人在公司内部至少已经证明了自己。该部门的新首席是杰夫·卡特，他曾策划过亚马逊从Oracle迁移到亚马逊网络服务的庞大数据迁移工作。但有一个问题：卡特没有数据安全方面的经验。正如他后来在YouTube上演讲时开玩笑说的那样，“嗯，这似乎不像是一个安全人员入门级别的工作。”

事实并非如此。就在卡特到任之际，信息安全部门内一些经理们聚集起来评估了亚马逊所面临的最大风险，并对每种风险进行了三个分数评定：对公司可能造成多大影响、发生概率以及亚马逊能够控制它们程度。然后将这三个数字相乘得出总体风险评分。

在安全部门列出的风险清单中，排名第一的是“由于检测有限、警报疲劳和手动操作而导致未被察觉”的泄露隐患。经理们确定，这种情况可能会产生“重大”影响（5分中的5分），其发生概率“非常高”（5分中的5分），而团队对公司面临这种风险没有“任何控制措施”（5分中的5分）。总体风险评分：125/125。

接下来，经理们评估了“对系统和网络缺乏可见性”可能导致“无法检测到安全事件”的危险。风险评分：125/125。然后是亚马逊“无法保护秘密凭证和能够解锁敏感数据的密钥”。同样是125/125。接着是亚马逊“无法确定数据位置”。再次是125/125。

亚马逊表示这些风险被夸大了。但就在那个时候，安全部门内一个名为安全运营中心的单位发布了另一份听起来很严重的信息，该单位负责检测和应对攻击。团队发出的备忘录警告称，由于该组依赖人员报告问题而不具备有效自动化系统主动搜索入侵迹象的能力，攻击者有可能在亚马逊网络上隐藏多年而不被察觉。

亚马逊声称这份备忘录忽略了公司为防止入侵者而设立的“多个补偿控制和备用措施”。然而，文件的紧急性是明显的：“我们不能通过人力扩展，人手实在不够，因此我们必须通过自动化扩展。” 但是，备忘录继续说，自动化“目前资金不足”。

随着卡特融入他的新工作，信息安全部门内部发出的警报被调得尽可能高。与此同时，公司内的另一组员工也对亚马逊处理客户数据的方式表达了他们自己的担忧。

亚马逊的安全部门肩负着更为沉重的责任。贝米斯德弗写道，本文中讨论的备忘录和电子邮件是“旧文件”，“不反映亚马逊当前的安全状况”，一些已经离开公司的安全人员也倾向于同意这一观点。他们表示，该部门正在取得一些进展。亚马逊用于自动检测威胁的系统，这是该公司声称已经进行投资的领域，确实在不断改进。公司表示，它在识别“个人数据存储位置及其流动方式”的工具和为员工提供“仅访问完成特定任务所需的关键数据”的程序方面进行了重大投资。但总体而言，前员工表示，安全部门仍然漂泊不定。

一位前安全经理表示：“要扭转那艘船需要很长时间。”这位前经理表示，亚马逊擅长迅速构建新事物；而在解决需要多个团队和多年才能解决的复杂问题方面，亚马逊并不擅长。与此同时，安全部门仍在通过自然减员继续失去经验丰富的安全专业人员。接收弗林六页报告的高管阵容也发生了变化：杰夫·威尔克于2021年3月从亚马逊退休。

参考资料：

• https://revealnews.org/article/inside-amazons-failures-to-protect-your-data-internal-voyeurs-bribery-schemes-and-backdoor-access/

• https://revealnews.org/article/wyden-tester-politicians-call-action-on-amazon-security-failures-data-privacy/

• https://revealnews.org/podcast/amazon-leaks/

• https://www.wired.com/story/amazon-failed-to-protect-your-data-investigation/

原文始发于微信公众号（关键信息基础设施安全保护联盟）：亚马逊的黑暗秘密 - 数据安全与隐私保护“最佳实践”