'Amazon beveiligde gegevens van klanten onvoldoende'
Amazon zou jarenlang de beveiliging van klantgegevens niet serieus genoeg hebben genomen. Zo konden laaggeplaatste medewerkers snuffelen in aankopen van beroemdheden en werden bepaalde betaalgegevens twee jaar onveilig bewaard.
Dat schrijven Wired en Reveal op basis van gelekte interne documenten en uitspraken van ex-medewerkers van Amazon. Voormalig hoofd informatiebeveiliging bij Amazon, Gary Gagnon, omschrijft de bescherming van klantgegevens als ‘met plakband en kauwgom in elkaar gezet’. Hij noemt het ‘schokkend’ dat Amazon de bescherming van data van klanten als een bijzaak leek te beschouwen.
Snuffelen in aankopen
Te veel medewerkers kregen volgens de ex-manager toegang tot enorme hoeveelheden data, waarbij de controles op misbruik ontbraken. Sommige laaggeplaatste werknemers bleken in de aankopen van beroemdheden te snuffelen, schrijven Wired en Reveal.
Volgens Gagnon, die in 2017 elf maanden bij Amazon werkte, deden er zich meerdere datalekken voor. Zo bleken twee jaar lang 24 miljoen namen en creditcardnummers te zijn opgeslagen buiten de ‘beveiligde zone’ die was bedoeld voor betaalgegevens. Amazon kon daarna niet meer vaststellen of onbevoegden toegang tot de data hadden gehad.
'Geen inzicht'
Het incident zou vergelijkbaar zijn met 'een bank die zich realiseerde dat er maandenlang zakken met geld in een kantoortje in plaats van in de kluis hadden gestaan'. De blunder werd hersteld, maar doordat de logboeken maar 90 dagen teruggingen was niet duidelijk hoe vaak de betaalgegevens door onbevoegden waren ingezien. "Daar stond ik versteld van”, reageert Gagnon.
"We hebben geen inzicht in de gegevens die we moeten beschermen", schreef de manager destijds in een interne memo. “We kennen de datastromen en opslaglocaties van gevoelige data niet systematisch.”
Omgekocht
Ook zouden er medewerkers zijn omgekocht door verkopers, om zo hoger in de resultaten van Amazon komen te staan, of om namaakproducten te kunnen verkopen.
Bovendien bleek een programma waarmee verkopers hun eigen statistieken konden genereren te worden misbruikt als “een achterdeur voor externe ontwikkelaars om Amazon-klantgegevens te verzamelen”. Amazon ontdekte later dat een Chinees databedrijf zo miljoenen gegevens had opgeslagen.
Kostenpost
Gagnon zegt dat het beveiligingsteam van de Amazon-webwinkel veel te weinig mensen in dienst had. Zijn verzoeken om meer mensen aan te nemen werden meestal afgewezen door de topman van de consumententak. Volgens Gagnon werd de informatiebeveiliging slechts gezien als een kostenpost.
Amazon zegt tegen Amerikaanse media de beweringen ‘zijn gebaseerd op informatie die verouderd is en buiten de context is geplaatst’. Het verhaal zou volgens het bedrijf ‘niet overeenkomen met onze huidige houding rond beveiliging’.