云计算业务承载平台
2021.11.19
揭秘亚马逊黑幕:未像承诺那样保护好用户数据
划重点1、对于用户数据隐私和安全问题,亚马逊不像Meta、推特、苹果、谷歌等科技巨头那样受关注。
2、最新披露的文件和采访证词表明,亚马逊在保护客户数据安全方面存在重大问题。
3、亚马逊的公司网络规模非常庞大,但看起来就像用胶带和泡泡糖拼凑起来的,新旧软件交织在一起。
4、就连亚马逊许多低级别员工都有广泛特权,可以利用数据访问权限窥探名人的购买记录。
5、许多亚马逊员工收受贿赂,帮助可疑的卖家破坏竞争对手的业务,篡改亚马逊的审查系统。
6、亚马逊零售业务保护客户数据安全的部门曾处于混乱状态,人手不足,士气低落,领导层频繁更迭让人无所适从。
【编者按】零售巨头亚马逊向来以关注用户需求自居,并致力于打造世界上最以客户为中心的平台。然而最新披露的文件、对前员工的采访显示,亚马逊在保护客户数据安全方面存在重大问题。亚马逊员工对客户信息的掌握程度也非常高,甚至有报道称亚马逊员工还在监视名人的购物行为。此外,亚马逊被曝安全团队无法跟上公司的扩张步伐,因此无法完全保护其数据。他们对负责保护的数据缺乏可见性,也没有系统地了解敏感数据的数据流和存储位置。亚马逊的客户安全基础设施一团糟,就像“用胶带和泡泡糖拼凑起来的”。当安全主管提出希望雇用更多员工的要求时,也经常遭到拒绝。
高管国会作证,自信满满被打脸
2018年9月26日,多位科技行业高管鱼贯走进大理石和木板混合构建的听证室,坐在上面摆放着麦克风和水瓶的桌子后面。他们都被传唤到美国参议院商务委员会就用户数据的安全和隐私问题作证,这个话题那段时间引发了人们的强烈关注。
南达科他州参议员、委员会主席约翰·图恩(John Thune)向听证会敬礼,然后开始列举过去几个月发生的事件。这些事件表明,建立在数据基础上的经济可能会出现可怕的错误。12个月前,信用机构Equifax发生了本可避免的泄密事件,导致超过1.45亿美国人的个人信息泄露,包括姓名、社保号码和其他敏感数据。6个月前,Meta(前身为Facebook)卷入剑桥分析公司滥用数据丑闻。这家政治情报公司从多达8700万Facebook用户那里收集私人信息,用于看似邦德式的心理阴谋,帮助唐纳德·特朗普(Donald Trump)入主白宫。
为了防止这样的滥用,欧盟和美国加州都通过了全面的新数据隐私法规。图恩说,现在美国国会也准备起草自己的法规。他宣称:“问题不再是我们是否需要联邦法律来保护消费者的隐私,而是这部法律将采取什么形式?”坐在参议员面前,准备帮助回答这个问题的是来自苹果、谷歌、推特和亚马逊以及两家电信巨头的代表。
值得注意的是,Meta或Equifax的任何人都没有出现在代表阵容中,这两家公司已经分别接受了国会的盘问。因此,对于聚集在这里的高管来说,此次听证会标志着一个开始游说友好监管的机会。当然,也是为了向国会保证,他们的公司已经完全控制了问题。
在听证会上,没有任何高管像亚马逊的副总法律顾问安德鲁·德沃尔(Andrew DeVore)那样,对这个问题表现出无比的信心。亚马逊很少出现在国会作证。在简短的问候之后,他在开场白中引用了公司的核心格言:“亚马逊的使命是成为地球上最以客户为中心的公司。”这是一句口头语,但它让德沃尔听起来有点像儿来自更大、更重要星球的使者。
德沃尔是个容貌粗犷的前检察官,他明确表示,亚马逊最需要立法者做的是最小限度的干预。获取消费者的信任已经是亚马逊的首要任务,对隐私和数据安全的承诺已经融入到该公司的骨子中。他说:“我们设计我们的产品和服务,让客户很容易理解他们的数据何时被收集,并控制何时共享。我们的客户相信我们会谨慎而明智地处理他们的数据。”
事实上,在最后这一点上,德沃尔可能是在做美好的假设。因为乔治敦大学研究发现,亚马逊是美国第二大最受信任的机构,仅次于军方。但就像Meta这样的公司近年来认识到的那样,公众信任可能是脆弱的。事后看来,亚马逊2018年的证词最有趣的是德沃尔没有说出的东西。
因为当时的亚马逊内部, 负责为公司零售业务保护客户数据安全的部门正处于混乱状态:人手不足,士气低落,领导层的频繁更迭让人无所适从。而且,按照该部门自己领导人的说法,这些都严重阻碍了其履行职责的能力。那一年和之前的一年,该团队始终在警告亚马逊的高管,零售商的信息处于危险之中,而该公司自己的做法助长了危险。
通过查阅的内部文件显示,亚马逊庞大的客户数据帝国,包括关于你搜索什么、你买了什么、你看了什么、你吃了什么药、你对Alexa说了什么以及谁在你的前门,已经变得如此杂乱无章,以至于安全部门甚至无法绘制出所有的地图,更不用说充分保卫好自己的边界了。
员工特权超多,可窥探名人购买记录
亚马逊以快速的客户服务、无拘无束的增长和快速的“代客户发明”的名义,给了其全球员工极大的自由,让他们可以随意利用客户数据。正如亚马逊前首席信息安全官加里·加格农(Gary Gagnon)所说,这是一种“免费”内部访问客户信息的方式。这种混战让公司对“内部威胁分子”敞开了大门,同时也使得追踪亚马逊所有数据的流向变得异常困难。
需要明确的是,这个问题与亚马逊云计算服务AWS无关,后者为数百万企业和政府机构管理数据,但它有自己独立的信息安全机构。上述问题主要出现在亿万普通消费者使用的在线零售平台上。而在亚马逊的业务方面,信息安全部门的员工警告称,“无法检测到安全事件”让人感到不安。
当德沃尔开始就亚马逊对隐私和安全的长期承诺作证时,该公司安全部门已经发现的危险不仅仅限于理论上。调查显示,它们是真实存在的,而且无处不在。在整个亚马逊,许多低级别员工就可以利用他们的数据特权窥探名人的购买记录,而另一些人则收受贿赂,帮助可疑的卖家破坏竞争对手的业务,篡改亚马逊的审查系统,并将仿冒产品出售给毫无戒心的顾客。
数百万个信用卡号码多年来始终被放在亚马逊内部网络的错误位置,安全团队无法确定它们是否被不当访问。一个允许卖家提取他们自己业绩指标的程序已经成为第三方开发商收集亚马逊客户数据的“后门”。事实上,就在9月份听证会前不久,亚马逊已经发现,有公司始终在收集数百万客户的信息,其计划不禁让人想起剑桥分析公司丑闻。
亚马逊的房子里有内贼,敏感数据向墙外流出。但德沃尔本人在那一年收到了一份报告,警告称有太多亚马逊员工可以获得不安全的存储密码,他还严厉驳斥了一名质疑亚马逊在客户隐私方面声誉的公司律师。但德沃尔没有向参议员透露任何这些信息。
亚马逊创始人杰夫·贝索斯(Jeff Bezos)著名的领导原则指导员工们表现出“偏爱行动”的倾向,因为“速度在商业中很重要”(第九条原则)。他们鼓吹“节俭”,因为“节俭孕育了足智多谋、自给自足和发明创造”(第10条原则)。最重要的是,他们认为亚马逊的领导人应该“关注客户需求”(第一条原则)。
在公司创立之初,贝索斯制定了他所谓的“两个披萨”规则:“任何团队都不应该太大,以至于只需要两个披萨就能让所有人吃饱。”他们的想法是,无论亚马逊变得多么庞大,它都应该能够继续像小巧玲珑的初创企业一样运作,尽管这些初创企业可以即时、不经中介介绍地获得该公司一流的数据和物流服务。如此一来,亚马逊仍将是个充满活力的地方,引用另一段企业箴言就是,它“永远处于创业第一天状态”。
贝索斯早些年制定的另一条规则是禁止使用PPT演示文稿,认为这会鼓励肤浅、分散注意力的思考。取而代之的是,他规定亚马逊人应该以内容丰富、单行行距较大的备忘录(被称为六页纸)的形式向高管提交报告,以便所有与会者在会议开始时都要仔细地默默阅读。
在回顾了亚马逊信息安全负责人准备在2016年至2018年期间提交给杰夫·威尔克(Jeff Wilke,时任亚马逊全球消费者业务首席执行官)、总法律顾问大卫·扎波尔斯基(David Zapolsky)和首席财务官布莱恩·奥尔萨夫斯基(Brian Olsavsky)的部分机密六页纸,亚马逊自2015年以来的大量其他内部文件和通信,以及对十几名亚马逊前数据安全和隐私员工的采访,可以看出,亚马逊的数据安全问题贯穿了整个2018年。此外,该部门的压倒性挑战源于亚马逊珍视的文化戒律,以及他们帮助推动的吞噬增长的世界。
在声明中,亚马逊发言人詹尼弗·贝米斯德弗(Jennifer Bemisderfer)表示,公司在保护客户数据方面有着非凡的记录,并表示这些内部文件是其强大文化的标志。她写道:“亚马逊的隐私和安全问题得到了广泛的记录,并得到了高级领导层的广泛审查,这一事实突显了我们对这些问题的承诺,并表明了我们识别、升级和应对潜在风险的警觉。多年来,我们已经投入了数十亿美元来建立系统和流程,以确保数据安全,并在不断寻找改进的方法。”
数据存储转入内部,急剧膨胀被滥用
在公司早期20年的历史中,亚马逊和许多公司一样,将其数据的存储外包给了第三方承包商甲骨文。但到了2015年左右,亚马逊的数据仓库迅速膨胀,成为世界上最大的甲骨文数据库。根据亚马逊的一项估计,其规模是其他任何数据库的1000倍。它拥有惊人的50000TB信息。
在亚马逊,3300个小团队每天都在利用这些数据,他们都渴望得到自己的分析。在一张内部地图上,这些团队被表示为一个由无数光点组成的天体。2018年的一份安全备忘录分析了该公司数据风险的根源,该备忘录显示,他们有抓取所需数据、复制数据并将其存储在其他地方的倾向。其结果是:“他们所需的数据集副本几乎在以无证可查的方式激增。”
这种迅速而猛烈的扩散在某种程度上导致信息安全部门几乎不可能处理亚马逊的数据。备忘录称:“数据集副本数量的飙升,加上亚马逊分散的责任和所有权模式,让安全部门肩负着几乎无法完成的任务。”事实上,在2016年,安全团队曾试图汇编亚马逊的所有数据,但未能如愿。
到那时,亚马逊已经开始了一项大规模的多年努力,将其基于甲骨文的数据转移到全新的内部系统中,该系统安装在亚马逊AWS的服务器上。但仍然有数据散落在其他地方,没有标记,无法追踪。
与此同时,亚马逊帝国的不同阶层也出现了另一组难以驾驭的漏洞。在世界各地,数以千计的亚马逊客服代表要么坐在呼叫中心的一排排小隔间里,要么坐在自己家里的电脑前。为了确保他们能够尽快帮助客户,该公司允许他们查询几乎所有人的购买记录。一位不愿透露姓名的前服务代表说,他记得同事们在查看坎耶·韦斯特(Kanye West)和电影明星在《复仇者联盟》(Avengers)电影中的购买记录,甚至在某位名人的购买记录中查看了几个性玩具。
其他员工回忆说,同事们正在寻找前任和女朋友或男朋友。一位前客户服务经理说:“每个人几乎都这么做。”当然,他们不应该这样做。亚马逊一再明确表示禁止这类行为。亚马逊发言人贝米斯德弗表示:“我们强烈反对存在普遍滥用这些特权的说法。”但工具就在那里,工程师可以开始一次“研究会议”,查找不在电话上的客户,然后只需键入一个名字即可。
早在2015年,高管们就知道员工广泛的访问权限是亚马逊需要解决的重大问题。当时的内部审计发现,数以万计的员工有能力“欺骗”卖家账户,其中许多人拥有获得密钥的权限,这使得他们能够发放退款并查看客户订单历史,就像他们是卖家一样。根据审计师的结论,其中2.3万人不应该被授予所有这些权力。亚马逊表示,和任何公司一样,它会审计自己的合规性政策,并根据这些发现进行改进。但2010年的审计也得出了类似的结论,显然问题依然存在。
很久以前的一份备忘录会说,亚马逊的系统“允许员工代表亚马逊客户快速工作,但会让这些客户面临被赋予更高特权的员工和承包商故意滥用和无意暴露的风险”。
但在某些方面,亚马逊最棘手的漏洞来源之一是信息安全部门本身,其设备非常糟糕、功能十分不正常,即使是在敬业的安全人员在困难面前表现英勇的时候,也觉得无能为力。2016年3月,长期担任该部门主管的乔治·斯塔塔科普洛斯(George Stathakopoulos)离职去了苹果,这让该团队陷入了几个月的不稳定状态。但分裂带来的动荡将会更加严重,持续的时间也会更长。
“用胶带和泡泡糖拼凑起来”
2016年年底左右,一位名叫加里·加农(Gary Gagnon)的人飞往西雅图,讨论成为亚马逊新任信息安全副总裁的问题。加农是一名网络安全高管,拥有数十年的丰富经验,主要是在联邦政府工作。 加农说,他并不那么渴望找到新工作,但他被威尔克打动了,作为一个掌管着世界上最大在线零售业务的人,他看起来非常谦虚。
然而,事情从那时起开始走下坡路。在2017年初的一次全体会议上,威尔克介绍加农担任安全部门的新负责人,这让许多期待能获得这个职位的内部人士感到震惊。他习惯于政府工作的风格也与亚马逊的文化格格不入。当他适应自己的新角色时,加农很快意识到亚马逊的“信息安全”并不尽如人意。他说,公司网络的规模令人震惊,但“这一切都是用胶带和泡泡糖拼凑起来的”,新旧软件交织在一起。
除此之外,网络上的每个人似乎都可以访问几乎所有东西,包括客户信息。然而,没有专门防止流氓员工在他在场期间滥用访问权限的内部威胁计划。加农说,更根本的是,该团队似乎没有任何系统的方法来优先处理其最大的安全风险,“这让我很震惊”。他领导着由300多人组成的团队,但他认为应该有1000人左右。但当他试图增加员工时,加农很快就发现,他在威尔克崇尚节俭的风格下很难得到满足。他说,在要求更多资源时,这位顶头上司通常会拒绝他。
加农开始相信,在威尔克的损益计算中,这个部门基本上是沉重的负担。AWS的信息安全团队实际上为云计算部门的企业客户提供了产品收入。但加农表示,在威尔克的消费者业务方面,信息安全部门被视为另一项管理成本,它削减了其他使亚马逊变得更快、更有利可图、更令人愉悦的项目利润。加农说:“亚马逊的理念是客户体验。他们想取悦客户,但这是以牺牲其他一切为代价的。”
亚马逊表示,它“永远不会以牺牲安全来换取成本”。但在加农看来,在信息安全方面的投资很少,“预算与需求不符”。许多前安全人员在该部门的这种紧缩意识上呼应了他的观点。安全团队的前业务运营经理埃莉·海文斯(Ellie Havens)说:“我会告诉新员工:假设你的预算为零,然后从零开始。你只要尽可能地节俭就行了。”
在2017年8月给威尔克的6页纸中,加农概述了亚马逊的高速增长和他的安全团队资源匮乏带来的一系列风险。连接到亚马逊系统的新设备不断被发现,但却没有集中的系统来跟踪它们;新的配送中心毫无计划地肆意扩张,仓库计算机的安全“跟不上步伐”;支付处理每年都在扩展到多个新的国家,安全团队也在努力跟上。
加农写道,在所有这些扩张的过程中,令人惊惧的事情也在发生。就在那年5月,员工们发现,在两年的时间里,多达2400万名客户的姓名和美国运通卡号暴露在亚马逊的内部网络上,处于支付数据的“安全区”之外。这就好像一家银行意识到,金库外的一间后台办公室已经放了几袋现金,而且已经好几个季节了。曝光已被纠正,但最可怕的是,无法确定在这段时间内是否有人窥探过支付凭证,因为数据集的访问日志只能追溯到90天前。
正如加农在他的备忘录中所评价的那样,亚马逊面临的一个更根本的问题是:“我们对我们负责保护的数据缺乏可见性,我们不能系统地了解敏感数据的数据流和存储位置。”
在安全方面,其含义是显而易见的:如果团队不知道所有数据在哪里,他们如何确保数据不会泄露、被盗或被不当处理?但加农也看到了另一个迫在眉睫的巨大危险。2016年4月,欧洲议会通过了消费者隐私法《通用数据保护条例》(GDPR),将于2018年生效。在那之后,在欧洲运营的公司将被允许在一系列严格的条件下使用人们的数据,有时只有在获得他们同意的情况下才能使用。公司还将被要求让客户有权删除他们的数据。加农称:“我不知道我们该怎么处理这件事,因为我们根本不知道我们该死的数据在哪里。”
但这类隐私问题似乎也不是亚马逊优先考虑的问题。据加农称,当他找到负责亚马逊零售技术基础设施的副总裁大卫·特里德威尔(David Treadwell),询问将如何让该公司遵守GDPR时,后者的回答是:“GDPR是什么?”加农说,他后来被告知不用担心,公司已经聘请了律师让亚马逊做好法律准备。
加农说,这并不是说像威尔克这样的高管不关心客户数据的安全。他说:“他们做了他们认为足够多的事:他们赚了一大笔钱,股价在上涨,没有任何迹象表明这些网络内容会影响他们的业务。或者至少现在还没有。”
急速扩张,安全团队跟不上步伐
2017年6月,在由两家美国大公司的高管主持的市政厅会议上,全食超市(Whole Foods)首席执行官约翰·麦基(John Mackey)宣布,在经历了一场旋风般的谈判之后,亚马逊决定斥资137亿美元收购这家高档杂货店。他描述了在短短几周内,两家公司如何从第一次“相亲”变成了“正式订婚”。回想起两位高管的第一次会面,麦基开玩笑说:“那是一见钟情。”
亚马逊的安全团队曾多次警告说,不断吞并新的子公司并将其并入母公司的网络会带来风险,但似乎没人听他们的。在合并敲定不到一周后,信用卡处理公司First Data的一名分析师打电话给亚马逊的员工,提供了不祥的提示。一名乌克兰经纪人刚刚将一些信用卡数据放在暗网上出售,这些数据可能表明全食超市存在安全漏洞。
亚马逊的安全部门迅速采取行动,通知了全食超市,并展开了调查。在接下来的几周里,该小组确定,自1月份以来,许多黑客侵入全食超市的公司网络内。攻击者控制了20个拥有强大访问级别的员工帐户。一份内部备忘录显示,他们侵入得如此之深,以至于全食超市负责应对此事的团队不得不被转移到完全不同的电子邮件系统上进行沟通,以避免黑客的窥探。
一旦安全部门赶走了攻击者,亚马逊就通知顾客,黑客盗走了在这家连锁杂货店内的许多餐厅和洗手间购物的信用卡详细信息。黑客没有从全食超市跳到更大的亚马逊网络,但看起来仍然不是很好。这起泄密事件登上了头条。
在客户忠诚度和信任度岌岌可危的情况下,这起泄密事件可能为加农提供了一个机会,让他有理由在安全方面进行更多投资。但他不会再逗留太久了。2017年10月,就在全食超市泄密事件发生一个月后,加农和其他一批员工飞往伦敦,参加亚马逊仅限受邀参加的信息安全大会ZonCon,这是一个团队建设和招聘活动。加农没能通过。
当天到底发生了什么还存在争议,但加农再也没有回到亚马逊工作。第二天,他被拉回西雅图与特里德威尔进行了视频通话,后者告诉他离开会议飞回家。加农说,当他回到美国时,他被告知在没有收到任何额外细节的情况下,在伦敦发生的事情是“不可原谅的”。该公司证实,他在接下来的一周被解雇。
无论实际发生了什么,对该部门来说,结果都是更加动荡,信息安全团队再次变得群龙无首。在高层混乱的情况下,其他资深员工和经理也将离职,这让该团队感到不安。前工作人员说,项目被打乱了,在高层会议上,安全问题将失去最重要的倡导者。该部门的团队各自为营,有时甚至相互争斗,没有战略愿景。随着寻找继任者工作的拖延,许多员工开始怀疑,为什么寻找新的信息安全主管如此之难?
最后,亚马逊任命了另一位主管担任最高信息安全职位,他至少在公司内部证明了自己的实力。该部门的新负责人是杰夫·卡特(Jeff Carter),他策划了亚马逊从甲骨文到AWS的大规模数据迁移。但有一个问题:卡特没有数据安全方面的经验。就像他自己后来在YouTube上可以看到的演示文稿中开玩笑的那样,他对这份工作邀请的反应是:“这看起来不像是保安人员的入门级工作。”
安全努力不受重视,被视为成本累赘
事实并非如此。大约在卡特上任的时候,信息安全部门的一群经理聚在一起,量化他们对亚马逊面临的最大危险警觉。每种危险都被分成三部分,分别是对公司的影响有多严重、发生的可能性有多大以及亚马逊有多大可能来控制它。然后将这三个数字相乘,得出总风险得分。
在安全团队的清单上,排在第一位的是由于“有限的检测、警觉疲劳和人工努力”而导致的入侵“未被注意到”的危险。经理们认为,这种情况的影响可能是“危急的”(5分,满分5分),它非常有可能的发生(5分),团队对公司的风险敞口“没有控制”(5分)。总风险得分125分,满分125分。接下来,经理们评估了“对系统和网络缺乏可见性”会造成“无法检测安全事件”的危险。风险评分125分。此外,亚马逊“无力”保护可能解锁敏感数据的秘密凭证和密钥,“无法识别数据位置”,依然是125分。
但亚马逊表示,这些风险被“夸大了”。不过大约在同一时间,信息安全部门内部一个名为安全运营中心的部门发出了另一条听起来可怕的信息,该部门负责检测和应对攻击。该团队的一份备忘录警告称,由于该团队依靠人工在遇到问题时提交报告,而不具备有效的自动化系统来主动搜索入侵证据,可以想象,攻击者可能会在亚马逊的网络中隐藏多年而不被发现。
亚马逊对此声称,这份备忘录忽略了该公司为防止入侵者而采取的“多种补偿控制和后备措施”。尽管如此,这份文件的紧迫性还是显而易见的:“我们不能扩大团队规模,因为人手不够,所以我们必须利用自动化来增强能力。”但是,备忘录继续说,自动化“目前资金不足”。简而言之,随着卡特适应他的新工作,信息安全部门内部的警报达到了巅峰。与此同时,在公司的其他地方,另一群员工也对亚马逊处理客户数据的方式感到担忧。
加农并不是唯一想到让公司准备好遵守欧洲的GDPR就脸色发白的人。在这个世界越来越担心科技公司使用个人数据的时候,亚马逊只有一小部分员工正式负责确保整个组织的客户隐私。他们中的大多数人聚集在公司的法律部,由副总法律顾问比尔·韦(Bill Way)领导。在整个2017年,他们在一家讨厌放慢脚步的公司竭力倡导隐私,而高管们似乎并不欣赏他们的努力。
2017年5月,这一小群员工中的一名高级工程师向韦发送了一封电子邮件,概述了公司的总体情况:解决围绕公司的隐私问题已经变成了一场残酷的打地鼠游戏。这位工程师写道:“我与内部员工进行了几次交谈,他们对正在开发工具的透明度和隐私做法不满意,但试图解决这个问题的努力被领导层否决了。当然,这些人在与他们的报告链在这些问题上进行过多斗争之前,必须考虑到他们的职业生涯,这表明有必要建立集中的隐私团队来处理这些升级和斗争。”
这位工程师写道,其他科技巨头拥有更成熟的系统来解决复杂的隐私问题,而亚马逊正在落后。他总结道:“如果没有隐私开发团队来负责这项工作,我不确定我们是否能很好地迎头赶上。”
2017年秋天,一名亚马逊合规专家给韦和其他人写了一份备忘录,警告称,如果公司不遵守规则,可能会因隐私问题面临数十亿美元的罚款。备忘录认为,亚马逊的目标应该是拥有30多名专注于隐私保护的员工,而不是寥寥数人,并表示该公司为隐私培训、隐私产品开发或数据地图提供的资源很少,甚至根本没有。这名员工后来声称,他被赶出公司的部分原因是提出了这些问题。还有报道称亚马逊对提出安全担忧的员工进行惩罚。亚马逊表示:“员工没有面临报复。没有员工因为对数据安全法规的合规性提出担忧而被解雇。”
同年晚些时候,当亚马逊的法律团队成员试图帮助该公司提高隐私保护水平时,他们的努力也被否决了。那年12月,一名公司律师就亚马逊是否应该加入“国际隐私专业人士协会”(IAPP)向一群同事进行了民意调查。谷歌、Meta、微软、推特、甲骨文和Salesforce已经成为该机构成员,让他们的数百名员工能够访问其资源。顶级企业会员费为2.5万美元。
亚马逊的一名驻日本律师在帖子中写道:“对于公司来说,这是一种相对便宜的方式,可以让我们的隐私专业人士与该网络保持联系,并表明公司对隐私问题总体上是敏感和深思熟虑的,而不是因为我们的缺席而变得非常引人注目。”
但副总法律顾问安德鲁·德沃尔(Andrew DeVore)驳斥了这一观点:“我不认为这是一个特别有用的论坛,对于我们实现任何更广泛的隐私目标来说,这不是一个特别有用的论坛。”德沃尔最终将在国会就亚马逊“对隐私和数据安全的长期承诺”作证。德沃尔是亚马逊产业链中级别最高的人。
其他律师试图反驳,但进展得并不顺利。亚马逊在德国的一名律师写道:“作为私人会员出席IAPP的活动是一种令人感觉非常不舒服的情况,但很明显,我为一家被认为对隐私问题不感兴趣的公司工作。”
这激怒了德沃尔,他表示:“任何人,尤其是那些声称真正参与或理解隐私问题的人,如果认为亚马逊‘对隐私问题不感兴趣’,那就是彻头彻尾的无知。如果我们不注重隐私,我们就不会出现在这里,也不会有我们在世界各地提供的令人难以置信的一系列隐私保护产品和服务。我希望,也完全期待,你们所有人都能大力回击这类废话。”
亚马逊最终没有加入隐私组织,但其云计算部门AWS加入了其中。一位致力于让公司为GDPR做好准备的前亚马逊律师认为,德沃尔关于公司在设计产品时考虑到隐私的说法是完全不准确的。当时,亚马逊没有有效的控制措施来限制用户个人数据(包括敏感数据)在公司内部的访问和共享。在亚马逊内部,用户个人数据像河流一样随意流动。
随着2018年5月遵守GDPR的最后期限临近,数据隐私问题迅速成为公众关注的焦点,这要归功于当年3月爆发的剑桥分析公司滥用数据丑闻。突然间,早间新闻节目和晚间喜剧主持人都在津津乐道地谈论着一个错综复杂的故事,故事讲的是一名第三方开发者随意使用通过Facebook应用程序编程接口免费获得的数据。在短短几天内,Facebook的市值缩水超过350亿美元。
在亚马逊内部,隐私员工担心他们的公司可能会卷入隐私丑闻中。毕竟,亚马逊甚至没有采取太多措施来避开眼前隐约可见的巨大冰川:欧洲新的隐私制度,该制度威胁要处以数百万美元的罚款。最后,根据2018年7月的一份信息安全备忘录,距离2018年5月25日执法最后期限只有5周的时候,亚马逊决定成立一个隐私团队,帮助这家全球最大在线零售商应对新法做准备。
亚马逊表示,该公司始终都有隐私员工分布在公司各处,它“提前几年就开始为GDPR做计划”,只是选择在最后期限到来之前集中精力。但几个月后,在参议院商务委员会面前,德沃尔似乎仍然对欧洲法律分散了亚马逊对以客户为中心的优先事项注意力感到恼火。他说:“我们对隐私的长期承诺使我们与欧盟《通用数据保护条例》的原则很好地结合在一起。”为了满足其处理、保留和删除个人数据的具体要求,我们需要将大量资源转移到管理任务上,而不是代表客户进行发明。”
考虑到德沃尔的证词,加农很难接受这样的说法,即亚马逊与GDPR关系良好,其核心是隐私。他说:“这都是胡说八道。”
滥用数据丑闻频现,借Meta当防护
2018年上半年,亚马逊看起来就像一股势不可挡的力量,该公司在全球拥有超过57.5万名员工。贝索斯晋升为世界首富,亚马逊即将成为仅次于苹果、第二家市值达到1万亿美元的公司。正如贝索斯在当年4月的年度股东信中所报告的那样,世界各地已有超过1亿人成为Prime会员,他们为Echo Dots和Fire TV Stick等智能设备而疯狂,这些产品将他们的日常生活变成了越来越多的亚马逊数据点。
就在这个亚马逊欢呼胜利的时刻,一座大坝似乎要决堤了。在匆忙中,亚马逊安全部门始终在标记的漏洞在一系列令人痛心的发现中显现出来。5月下旬的一天,亚马逊的风险情报团队无意中发现了一项面向亚马逊第三方卖家的粗略服务,这个商业计划获取亚马逊数据的方式,在某些方面让人联想到剑桥分析丑闻。
这项名为AMZReview的服务宣传自己是帮助卖家在亚马逊平台上提升排名的一种方式,并声称拥有数百万亚马逊客户的详细信息。在调查过程中,他们发现了一个令人不安的事实,即AMZReview的人是如何获得所有客户数据的:根据一份详细说明团队调查结果的备忘录草稿,亚马逊让他们获得了这些数据。
亚马逊的零售平台长期以来始终在为卖家提供一个方便的程序,允许他们提取客户的数据。他们只需要一把特殊的钥匙就可以进入亚马逊的界面,他们可以解锁对客户信息的访问,包括姓名、邮寄地址、电话号码、他们订购的产品以及订购日期。他们的想法是,卖家可以使用所有这些数据来管理他们的业务,可以通过雇佣自己的软件开发人员来构建分析工具。
问题是,渴望数据货币化的第三方公司已经意识到,他们可以从许多不同的卖家那里收集密钥,并在客户不知情的情况下积累大量客户信息。在英特尔团队发现AMZReview之前,这扇门多年来一直敞开着,公司可以轻松获取亚马逊的客户数据。
作为获得亚马逊提供所有客户数据的交换,AMZReview提出帮助卖家获得亚马逊严格隐瞒的一项关键信息:客户及其评论所附的个人电子邮件地址。差评可能会让亚马逊上的生意泡汤,但有了正确的电子邮件地址,卖家可能会诱使不满意的顾客删除他们的评论,或者提供优惠以诱使人们给出更好的评论。
AMZReview是如何知道这些电子邮件地址的?亚马逊认定,这项服务似乎从互联网上“其他公开和被攻破的来源”获得了客户的电子邮件。从那时起,它就有了将地址与亚马逊评论进行匹配的方法。总而言之,AMZReview从92家不同的卖家那里获得了访问密钥,使其能够从亚马逊的系统中提取所有客户信息。它声称拥有1600万亚马逊客户的信息。
一位参与会议的人士说,当风险情报团队第一次报告这一发现时,许多人都被吓到了。然而,问题远远不仅仅是AMZReview,它只是众多可以从亚马逊提供给卖家的信息中获取数据的服务之一。商家通过亚马逊的界面访问了数十亿份客户订单,几乎没有受到监管。最大的第三方开发商获得了10亿份订单资料。当然,销售商和开发商应该如何使用该系统是有规定的。但备忘录称,该公司调查的第三方开发商中,似乎有超过半数违反了亚马逊的服务条款。
备忘录说,亚马逊始终在“过度分享”顾客的详细信息,分发了许多不同类型的数据点,往往不考虑卖家的实际需求。但亚马逊“无法知道”,这些数据是被实际的卖家访问的,还是被第三方公司访问的,这些公司对这些数据做了什么,谁知道他们在做什么。这些公司可能会直接出售这些数据,或者利用这些数据来创建针对亚马逊客户的定向营销。该公司表示:“我们认为,如果客户了解正在发生的事情,此举可能等导致失去客户的信任。”
亚马逊的领导人希望问题尽快得到解决。备忘录提出了一个计划:亚马逊将限制与卖家共享的数据。它将定期审计正在提取数据的公司,以发现任何不当行为。至于已经泄露的大量数据,他们决定简单地要求最大的公司处理掉他们关于亚马逊客户的历史数据。亚马逊表示,它使用了外部审计来确保数据被移除。
一些相关人士不禁想起了仍在酝酿中的剑桥分析公司丑闻。但在Meta遭到公开抨击的同时,亚马逊却悄悄地处理了AMZReview的问题。一些隐私权倡导者表示,该公司应该坦白。电子前沿基金会(EFF)的技术人员贝内特·塞弗斯(Bennett Cyphers)说:“他们应该公开现在发生的事情,为解决问题所做的努力,以及提供谁获得了你的数据的信息。”
亚马逊表示:“没有数据泄露。我们制定了严格的政策和合同条款,禁止卖家和服务提供商滥用客户数据,我们不断监测和审计我们的系统,以发现滥用并执行我们的政策。”当亚马逊发现公司滥用他们的访问权限时,就会切断何种访问权限。亚马逊还投资了一家外部审计公司,以确保公司遵守规定。至于有多少客户的信息被滥用该系统的公司窃取,亚马逊没有回应。
尽管情况很糟糕,但AMZReview并不是亚马逊在5月份发现的唯一问题。几乎就在同一时间,亚马逊的安全部门了解到,几个亚马逊账户被用来绕过该公司客户服务平台的控制。根据一份内部备忘录,这些账户随后更改了附加在约3.6万名客户个人资料上的电子邮件地址,此举将允许攻击者接管客户账户,并将其用于欺诈。 安全部门还了解到,亚马逊系统内的某人登录了6581个客户账户,并删除了他们写的评论。这两起事件似乎有关联。
2018年7月,当没有安全经验的新任安全主管杰夫·卡特(Jeff Carter)准备向高级管理人员提交他的第一份季度6页报告时,他首先发现了安全部门仍然参差不齐的状况。他在备忘录中写道:“通过领导层更迭,信息安全内部团队之间的信任已经崩溃,这影响了团队合作、士气、生产力和留任力。”虽然亚马逊的其他一切似乎都在呈指数级增长,但安全团队却失去了更多的人。该部门的员工人数为345人,比预期员工人数少了100人。
投资改进数据安全,关键看值不值得
卡特继续敲响了许多与他前任相同的警钟:亚马逊仍然不知道它所有的数据都在哪里。该公司仍然没有足够的能力自动检测威胁。而且,它仍然让员工有太多机会接触敏感的客户数据。不同的是,对卡特来说,亚马逊员工带来的危险现在已经变成了生动的现实。用他的话说,“流氓员工为了自己的目的而滥用内部系统的能力”。而且,随着2018年的拖延,情况只会变得更加糟糕。
让亚马逊处境雪上加霜的是,有关该公司腐败问题的消息开始流传开来。2018年秋天,有媒体报道称,该公司员工利用数据换取现金,其中一人因向卖家泄露客户电子邮件而被解雇。为了回应这些报道,亚马逊启动了代号为Glass Door的内部项目,以开发解决这个问题的方法。但安全主管并不特别乐观,卡特说:“这些威胁分子出于经济动机,将继续坚持获取我们的数据,直到攻击者的经济负担大于他们的经济收益。”
2020年1月,在上任仅仅一年半后,卡特辞去了亚马逊信息安全部门的工作。他的离职使该部门在没有主管的情况下又陷入了几个月的挣扎。亚马逊最终聘请了约翰·弗林(John“Four”Flynn)担任这一职务。弗林曾在Uber担任首席信息安全官,当时后者的员工利用自己的数据特权追踪前女友和碧昂斯(Beyoncé)等名人的动向。这些行为之所以曝光,不是因为Uber披露了它们,而是因为一名举报人对该公司提起了诉讼,并在诉讼中声称,他被解雇的部分原因是向弗林提出了他的担忧。
当Uber隐瞒了一次大规模的用户数据黑客攻击时,弗林还在该公司工作。大约在弗林去年受雇于亚马逊的时候,他在Uber的前老板、安全主管约瑟夫·沙利文(Joseph Sullivan)被起诉,原因是他涉嫌贿赂黑客,以向公众和联邦当局隐瞒数据泄露事件。弗林没有被指控有任何不当行为,他在国会作证说,他没有参与这笔支出。他告诉立法者:“我认为我们没有向消费者报告是一个错误。我认为我们犯了一个错误,没有向执法部门报告。”
在亚马逊,弗林继承了一些困扰卡特的问题。可疑的在线服务仍然公开宣传他们有能力提供收费的内部访问权限。许多公司承诺提供亚马逊系统的内部截图,其中一张广告标价175美元,或者提供客户电子邮件。一台打开亚马逊内部卖家支持门户的笔记本电脑的照片,显示了去年在印度拍摄这些照片确切地点的位置数据。
2020年9月,联邦检察官起诉了六名涉嫌贿赂亚马逊员工的人,称这一阴谋至少从2017年持续到2020年。审判定于明年进行。许多行业顾问表示,亚马逊员工腐败问题一如既往地严重。但该公司强烈否认存在贿赂问题的说法。
亚马逊的安全部门负担要重得多,该公司发言人称,这篇文章中讨论的备忘录和电子邮件都是“旧文件”,“不能反映亚马逊目前的安全态势”,有些已经离开公司的安全人员倾向于同意这一观点。他们说,该部门正在取得进展。亚马逊自动检测威胁的系统确实在不断改进,该公司已经在这一领域进行了投资。此外,亚马逊已经在识别“个人数据存储在哪里以及如何流动”的工具上进行了大量投资,并在程序上让员工“只能访问对完成特定任务至关重要的数据”。但总体而言,前雇员表示,安全部门仍面临大量挑战。
一位前安全经理表示:“让这艘船掉头将永远需要时间。亚马逊擅长的是快速打造新产品,但不擅长的是解决复杂的问题,这些问题需要多个团队和数年时间才能解决。”与此同时,信息安全部门不断因各种原因而失去经验丰富的安全专业人员。但与此同时,亚马逊庞大的客户数据攻击面,以及其潜在的“内部威胁因素”池,都以几乎令人费解的速度增长。就在2018年德沃尔作证后,该公司的Prime会员数量翻了一番,达到2亿。该公司在全球的员工人数也增加了一倍多,达到近150万人。
该公司在另一个意义上也体现了其巨大的规模:2021年8月,亚马逊隐私员工的警告成真,欧盟以违反GDPR为由对该公司处以8.83亿美元的罚款,这一罚款是GDPR对其他公司罚款总和的两倍多。
尽管如此,公众对亚马逊的信心仍然很高。2020年7月,也就是贝索斯辞去首席执行官一年前,他有史以来第一次在国会作证,为亚马逊辩护,反对日益高涨的反垄断情绪。在他的开场白中,贝索斯承认现在有大量的研究,发现亚马逊是美国最受信任的机构之一。他问道:“有谁比美国人更相信亚马逊会做正确的事情呢?只有他们的医生和军队。”但正如他在声明中补充的那样:“客户信任很难赢得,但却很容易失去。关键是看亚马逊这样做值得吗?”