Header Ads

Senador Wyden quer respostas da Amazon no Capital One hack

Um senador dos EUA do Oregon quer que a Amazon explique o papel que desempenhou em um hack que expôs dados sensíveis de mais de 100 milhões de requerentes de cartão de crédito Capital One.

PUBL]

Sen. Ron Wyden enviou uma carta ao CEO da Amazon, Jeff Bezos, na terça-feira perguntando sobre a natureza do hack e se as vulnerabilidades nos serviços em nuvem da empresa tinham algo a ver com isso.

Na semana passada, a engenheira Paige Thompson, de Seattle. foi preso por supostamente hackear os bancos de dados da Capital One. A queixa contra a Thompson não menciona o provedor de nuvem da Capital One, mas a empresa é um cliente da Amazon Web Services. Thompson trabalhava como engenheira de sistemas para a Amazon de 2015 a 2016, de acordo com seu currículo on-line.

Segundo a reclamação, Thompson invadiu um firewall de aplicativos da Web mal configurado. Embora a configuração adequada seja para os clientes da nuvem, Wyden quer descobrir se é uma vulnerabilidade que deixa os clientes da Amazon Web Services expostos regularmente. “Quando uma grande corporação perde dados em cem milhões de americanos por causa de uma erro de configuração, a atenção naturalmente se concentra nas práticas de segurança cibernética da corporação ”, diz a carta de Wyden. “No entanto, se várias organizações cometem erros de configuração semelhantes, é hora de perguntar se a tecnologia subjacente precisa ser mais segura e se a empresa que a faz compartilha a responsabilidade pelas violações.”

não ser imediatamente alcançado para comentar. Em uma declaração ao Wall Street Journal no fim de semana, a Amazon disse que nenhum dos seus serviços era a causa do hack. A empresa observou que oferece ferramentas para ajudar os clientes a monitorar esses tipos de violações.

A Capital One disse anteriormente que “esse tipo de vulnerabilidade não é específico da nuvem. Os elementos da infraestrutura envolvidos são comuns aos ambientes de data center na nuvem e no local. ”

As perguntas de Wyden para Bezos centram-se em um tipo de invasão em que um hacker explora um servidor - Vulnerabilidade de falsificação de solicitação lateral. Nesses casos, os hackers visam sistemas internos que são protegidos por firewalls.

Especificamente, Wyden quer saber:

  • Se Thompson explorasse uma vulnerabilidade de falsificação de solicitação do servidor para transportar o roubo do Capital One
  • Quantos clientes foram afetados por esse tipo de ataque nos últimos dois anos
  • Quais etapas a Amazon tomou para instruir seus clientes sobre a ameaça do Server-Side Solicitar ataques de falsificação

A carta também pede mais informações sobre um tweet enviado por um engenheiro de software de segurança na Netflix em julho. O engenheiro supostamente pediu à Amazon para fornecer proteção extra contra ataques de falsificação de solicitações do lado do servidor e não recebeu uma "resposta satisfatória". O tweet já foi excluído.

Netflix perguntou o engenheiro para remover o tweet porque não reflete a atitude da empresa em relação à Amazon, de acordo com o The Wall Street Journal, que relatou pela primeira vez a carta de Wyden.

Netflix e Capital One estão listadas no site da Amazon Web Services como histórias de sucesso de clientes. A Amazon diz que seus serviços em nuvem têm mais de um milhão de clientes ativos. O Wall Street Journal também publicou um mergulho profundo no fim de semana que detalha como Thompson supostamente conseguiu o roubo maciço de dados. Thompson deve comparecer ao tribunal em Seattle em 15 de agosto.

A violação da Capital One pode lançar uma sombra sobre os esforços da Amazon para ganhar um contrato altamente procurado para construir a nuvem do Pentágono. A Microsoft e a Amazon são as candidatas finais ao projeto Joint Enterprise Defense Infrastructure. O vencedor será encarregado de reformar a infraestrutura de tecnologia do Departamento de Defesa e construir um sistema que permita que diferentes ramos das forças armadas compartilhem informações confidenciais na nuvem. Em sua carta, Wyden sugere que a Amazon Web Services poderia ser "O elemento comum em uma série de hacks de alto perfil visando grandes corporações."

"Isso levantaria sérias dúvidas sobre se outras corporações e entidades governamentais que usam os produtos de computação em nuvem da Amazon também são vulneráveis", disse Wyden. .

Wyden pediu que Bezos respondesse às suas perguntas em 13 de agosto.

Nota do editor: Esta história foi atualizada para esclarecer que o hacker acessou informações de 100 milhões de solicitantes de cartão de crédito Capital One.

Via: Geek Wire

Nenhum comentário