I senatori Warren e Wyden chiedono alla FTC di indagare sulla colpevolezza di Amazon nella violazione dei dati di Capital One
Due democratici al Senato chiedono alla Federal Trade Commission di indagare sul coinvolgimento di Amazon nella violazione dei dati di Capital One che ha colpito oltre 100 milioni di persone lo scorso luglio.
I senatori Ron Wyden, dell'Oregon e Elizabeth Warren, del Massachusetts, hanno inviato una lettera alla FTC giovedì, chiedendo un'indagine per accertare se il "fallimento di Amazon nel garantire i suoi servizi" viola una legge federale che vieta pratiche commerciali sleali.
La lettera afferma che Amazon era a conoscenza di una vulnerabilità di sicurezza utilizzata da un hacker per ottenere l'accesso ai dati personali di milioni di persone che hanno richiesto una carta di credito Capital One negli ultimi anni.
A luglio, un ingegnere del software di Seattle è stato arrestato per presunta violazione dei database di Capital One in una delle maggiori violazioni di un importante servizio finanziario della storia.
La maggior parte delle informazioni compromesse proveniva dai dati della domanda di carta di credito inviati tra il 2005 e il 2019 che includevano nomi, indirizzi, codici postali, numeri di telefono, indirizzi e-mail, date di nascita e entrate autosufficienti.
La violazione ha anche rivelato circa 140.000 numeri di previdenza sociale e 80.000 numeri di conto bancario, secondo Capital One.
Paige Thompson, il presunto hacker, è un ingegnere del software con sede a Seattle che ha precedentemente lavorato per Amazon Web Services, il braccio di cloud computing del gigante della tecnologia.
Thompson si è dichiarato non colpevole di accuse federali di frode via cavo e computer ad agosto.
Sta aspettando il processo.
L'hacker ha utilizzato un metodo noto come "contraffazione di richieste lato server" o attacco SSRF per ottenere l'accesso ai dati Capital One ospitati da un fornitore di servizi cloud, secondo le tariffe.
Quel fornitore non è nominato nelle accuse contro Thompson ma Capital One è un cliente di Amazon.
I clienti di Capital One hanno nominato Amazon Web Services come provider cloud in una causa separata.
"Amazon sapeva, o avrebbe dovuto sapere, che AWS era vulnerabile agli attacchi SSRF", afferma la lettera di Wyden e Warren.
"Sebbene i concorrenti di Amazon abbiano affrontato la minaccia di attacchi SSRF diversi anni fa, Amazon continua a vendere servizi di cloud computing difettosi ad aziende, agenzie governative e al pubblico in generale.
Pertanto, Amazon condivide la responsabilità del furto di dati su 100 milioni di clienti di Capital One.
"Aggiornamento: un portavoce di Amazon ha definito le affermazioni" infondate e un tentativo di pubblicità da parte di politici opportunisti "." Come ha spiegato Capital One, l'autore ha attaccato un configurazione errata a livello di applicazione di un firewall Capital One ", ha affermato.
"La tecnica SSRF utilizzata in questo incidente è stata solo una delle molte fasi successive che l'autore ha seguito dopo aver ottenuto l'accesso ai sistemi dell'azienda e avrebbe potuto essere sostituito con una serie di altri metodi dato il livello di accesso già acquisito." Amazon conosceva i server affittati a Capital One erano vulnerabili alla pirateria informatica e 100 milioni di americani pagarono il prezzo.
È inconcepibile che nel 2019 le aziende non prenderanno le misure necessarie per proteggere i dati personali degli americani.
https://t.co/8JxhUa1bFn – Ron Wyden (@RonWyden) 24 ottobre 2019 L'FTC sta già indagando su Amazon e altre grandi aziende tecnologiche per scoprire se hanno usato il loro dominio per soffocare la concorrenza.
Warren e Wyden sono frequenti critici di Big Tech.
Warren ha fatto a pezzi giocatori dominanti nel settore della sua piattaforma di campagna nella sua ricerca per la Casa Bianca nel 2020.