Millones de datos de Amazon fueron extraídos y puestos a la venta por empresa china

Amazon atraviesa una crisis sorpresiva, tras el hallazgo de una vulnerabilidad que le permitió a una empresa china, por años, extraer millones de datos de clientes de la tienda online y vender esa información a proveedores externos de la misma Amazon. Lo grave es que estas acciones se produjeron usando las propias herramientas de la compañía fundada por Jeff Bezos.

De acuerdo con Wired, responsable del destape, desde el 2018 se realizaba esta actividad de scrapping, un “raspado de datos” similar al que provocó la filtración masiva de datos de LinkedIn hace unos meses. Esta actividad fue posible con el uso de AMZReview, una herramienta diseñada por la misma Amazon para ayudar a los vendedores externos a mejorar sus calificaciones.

Este servicio, disponible para desarrolladores y clientes del mercado online, generó una enorme puerta trasera por la que se compilaron datos de más de 16 millones de clientes. De acuerdo con equipos internos de la empresa, la empresa china accedió a casi 4,8 millones de datos.

Según la publicación, la división de seguridad de Amazon nunca pudo trazar un mapa de todos los datos que los clientes generaron por años, provocando una fragmentación en el control robusto de la información “de los usuarios, lo que compran, lo que ven, lo que buscan, lo que le dicen a Alexa o quién está en la puerta de su casa”.

Seguridad “armada con cinta adhesiva y chicle”

Uno de los testimonios presentados en la nota es el de Gary Gagnon, ex vicepresidente de seguridad de la información en Amazon. En su declaración, menciona que le asombró el tamaño de la red, pero que había serias deficiencias en temas de seguridad.

"Todo se armó con cinta adhesiva y chicle”, menciona Gagnon. “Creció en un garaje y siguió avanzando desde allí”. De acuerdo con el testimonio del ejecutivo, todos en la red tenían acceso privilegiado a información sensible de usuarios, pero no se implementó una solución que vigilara el uso de esa data por malos empleados.

Incluso con la puesta en marcha de la Ley de Protección de Datos Privados en la Unión Europea, la seguridad de Amazon se vio en problemas para asignar herramientas de control al usuario para el borrado de sus propios datos porque, en palabras de Gagnon, “no tenemos idea de dónde están nuestros malditos datos”.

De acuerdo con WIRED, este problema guarda similitud con el escándalo de Cambridge Analytica que, en 2016, recopiló millones de datos sin consentimiento de Facebook para influir en las elecciones presidenciales de Estados Unidos ese año.

Amazon responde a las acusaciones

Para la empresa, este tema no se puede interpretar como una vulnerabilidad que exponga información. De acuerdo con Jen Bemisderfer, portavoz de Amazon, hay “políticas estrictas y términos contractuales que prohíben el uso indebido de los datos de los clientes por parte de vendedores y proveedores de servicios, y monitoreamos y auditamos continuamente nuestros sistemas para detectar el uso indebido y hacer cumplir nuestras políticas”.