Os senadores Warren e Wyden pedem à FTC que investigue a culpabilidade da Amazon na violação de dados do Capital One

Dois democratas no Senado estão pedindo à Comissão Federal de Comércio que investigue o envolvimento da Amazon na violação de dados do Capital One que afetou mais de 100 milhões de pessoas em julho passado.

Os senadores Ron Wyden, do Oregon, e Elizabeth Warren, do Massachusetts, enviaram uma carta à FTC na quinta-feira, pedindo uma investigação sobre se o "fracasso da Amazon em garantir seus serviços" viola um governo federal. lei que proíbe práticas comerciais desleais.A carta diz que a Amazon sabia de uma vulnerabilidade de segurança que um hacker usava para obter acesso aos dados pessoais de milhões de pessoas que solicitaram um cartão de crédito Capital One nos últimos anos.

Em julho, um software de SeattleO engenheiro foi preso por supostamente invadir os bancos de dados da Capital One em uma das maiores violações de um importante serviço financeiro da história.

A maioria das informações comprometidas veio de dados de aplicativos de cartão de créditoenviado entre 2005 e 2019 que incluiu nomes, endereços, códigos postais, números de telefone, endereços de e-mail, datas de nascimento e renda autorreferida.A violação também expôs aproximadamente 140.000 números da Previdência Social e 80.000 números de contas bancárias, segundo a Capital One. Paige Thompson, o suposto hacker, é um engenheiro de software de Seattle que trabalhou anteriormente na Amazon Web Services, abraço de computação em nuvem da gigante de tecnologia. Thompson se declarou inocente de acusações federais de fraude eletrônica e de computadores em agosto. Ela está aguardando julgamento.

O hacker usou um método conhecido como "falsificação de solicitação do servidor" ou ataque SSRF para obter acesso aos dados da Capital One hospedados por um provedor de serviços em nuvem, de acordo com as acusações. Esse provedor não é mencionado nas acusações contra Thompson, mas a Capital One é cliente da Amazon. Os clientes da Capital One nomearam a Amazon Web Services como o provedor de nuvem em um processo separado.

"A Amazon sabia, ou deveria saber, que a AWS era vulnerável a ataques SSRF" ", diz a carta de Wyden e Warren.“Embora os concorrentes da Amazon tenham abordado a ameaça de ataques SSRF há vários anos, a Amazon continua a vender serviços de computação em nuvem com defeito para empresas, agências governamentais e o público em geral. Como tal, a Amazon compartilha alguma responsabilidade pelo roubo de dados de 100 milhões de clientes da Capital One. ”

Atualização: Um porta-voz da Amazon chamou as alegações de" infundadas e uma tentativa de publicidade de oportunistaspolíticos. ”

" Como o Capital One explicou, o agressor atacou uma configuração incorreta na camada de aplicação de um firewall do Capital One ", disse ele."A técnica da SSRF usada neste incidente foi apenas uma das muitas etapas subsequentes que o agressor seguiu após obter acesso aos sistemas da empresa e poderia ter sido substituída por vários outros métodos, dado o nível de acesso já obtido".

A Amazon sabia que os servidores que alugavam para a Capital One eram vulneráveis ​​a hackers, e 100 milhões de americanos pagaram o preço.É inaceitável que em 2019 as empresas não tomem as medidas necessárias para proteger os dados pessoais dos americanos. https://t. co/8JxhUa1bFn— Ron Wyden (@RonWyden) 24 de outubro de 2019

A FTC já está investigando a Amazon e outras grandes empresas de tecnologia para descobrir se elasusaram seu domínio para reprimir a competição. Warren e Wyden são críticos frequentes da Big Tech. Warren transformou a divisão de atores dominantes na indústria em sua plataforma de campanha em sua busca pela Casa Branca em 2020.

Via: Geek Wire