Voyeurs. Contas sabotadas. Esquemas de backdoor. Durante anos, o gigante do varejo tratou suas informações com menos cuidado do que seus pacotes.
Fonte: Wired Magazine
SInal: Forte
Tendência: Sociedade 5.0
EM 26 DE SETEMBRO,2018, uma fileira de executivos de tecnologia entrou em uma sala de audiência revestida de mármore e madeira e sentou-se atrás de uma fileira de microfones de mesa e minúsculas garrafas de água. Todos foram chamados para testemunhar perante o Comitê de Comércio do Senado dos Estados Unidos sobre um assunto árido - a guarda e privacidade de dados de clientes - que recentemente vinha deixando um grande número de pessoas loucas como o inferno.
O presidente do comitê, John Thune, de Dakota do Sul, ordenou a audiência e começou a listar os eventos do ano passado que mostraram como uma economia baseada em dados pode dar terrivelmente errado. Passaram-se 12 meses desde a notícia de que uma violação eminentemente evitável na agência de crédito Equifax reivindicou os nomes, números de previdência social e outras credenciais confidenciais de mais de 145 milhões de americanos. E já haviam se passado seis meses desde que o Facebook foi envolvido em um escândalo sobre Cambridge Analytica, uma empresa de inteligência política que conseguiu coletar informações privadas de até 87 milhões de usuários do Facebook para um esquema psicográfico aparentemente vilão de Bond para ajudar a colocar Donald Trump no branco Casa.
Para evitar abusos como esses, a União Europeia e o estado da Califórnia aprovaram novas regulamentações de privacidade de dados. Agora, o Congresso, disse Thune, está prestes a redigir seus próprios regulamentos. “A questão não é mais se precisamos de uma lei federal para proteger a privacidade dos consumidores”, declarou ele. “A questão é: qual será a forma dessa lei?” Sentados à frente do senador, prontos para ajudar a responder a essa pergunta, estavam representantes de duas empresas de telecomunicações, Apple , Google , Twitter e Amazon .
Notavelmente ausente da programação estava qualquer pessoa do Facebook ou Equifax, que havia sido interrogado pelo Congresso separadamente. Portanto, para os executivos reunidos, a audiência marcou uma oportunidade de começar a fazer lobby por regulamentações amigáveis - e para garantir ao Congresso que, é claro, suas empresas tinham a questão completamente sob controle.
Nenhum executivo na audiência projetou tanta confiança indiferente nesta contagem quanto Andrew DeVore, o representante da Amazon, uma empresa que raramente testemunha perante o Congresso. Depois de uma breve saudação, ele começou seus comentários iniciais citando uma das máximas essenciais de sua empresa aos senadores: “A missão da Amazon é ser a empresa da Terra mais centrada no cliente”. Era uma linha de estoque, mas fez o conselho geral associado soar um pouco como se estivesse falando como um emissário de um planeta maior e mais importante.
DeVore, um ex-promotor com características rudes, deixou claro que o que a Amazon mais precisava dos legisladores era o mínimo de interferência. A confiança do consumidor já era a maior prioridade da Amazon, e um compromisso com a privacidade e a segurança dos dados estava presente em tudo o que a empresa fazia. “Projetamos nossos produtos e serviços de forma que seja fácil para os clientes entenderem quando seus dados estão sendo coletados e controlar quando são compartilhados”, disse ele. “Nossos clientes confiam em nós para lidar com seus dados com cuidado e sensatez.”
Sobre este último ponto, DeVore provavelmente estava fazendo uma suposição segura. Naquele ano, um estudo da Universidade de Georgetown concluiu que a Amazon era a segunda instituição mais confiável nos Estados Unidos, depois dos militares. Mas, como empresas como o Facebook aprenderam nos últimos anos, a confiança do público pode ser frágil. E, em retrospecto, o que é mais interessante sobre o testemunho da Amazon em 2018 é o que DeVore não disse.
Naquele exato momento, dentro da Amazon, a divisão encarregada de manter os dados dos clientes seguros para as operações de varejo da empresa estava em um estado de turbulência: com falta de pessoal, desmoralizada, desgastada pelas frequentes mudanças de liderança e - pelas contas de seus próprios líderes - severamente prejudicada em sua capacidade de fazer seu trabalho. Naquele ano e no anterior, a equipe alertou os executivos da Amazon de que as informações do varejista estavam em risco. E as próprias práticas da empresa alimentavam o perigo.
De acordo com documentos internos revisados pelo Reveal do Center for Investigative Reporting and WIRED, o vasto império da Amazon de dados de clientes - seu registro metastático do que você pesquisa, o que compra, o que mostra que você assiste, quais pílulas você toma, o que você diz para Alexa, e quem está na sua porta, tornou-se tão extensa, fragmentada e promiscuamente compartilhada dentro da empresa que a divisão de segurança não conseguia nem mapear tudo isso, muito menos defender adequadamente suas fronteiras.
Em nome da agilidade no atendimento ao cliente, do crescimento desenfreado e da rápida “invenção em nome dos clientes” - em nome de encantá- lo - a Amazon deu amplas faixas de sua latitude extraordinária de força de trabalho global para acessar os dados do cliente à vontade. Era, como o ex-chefe de segurança da informação da Amazon Gary Gagnon o chama, um acesso interno "gratuito para todos" às informações do cliente. E, como alertaram os líderes de segurança da informação, esse vale-tudo deixou a empresa totalmente aberta aos “atores de ameaças internas”, ao mesmo tempo que tornava excessivamente difícil rastrear para onde todos os dados da Amazon estavam fluindo.
Para ser claro: esta história não é sobre Amazon Web Services, a ala de computação em nuvem que gerencia dados para milhões de empresas e agências governamentais, que tem seu próprio aparato de segurança de informações separado. É sobre a plataforma de varejo online usada por centenas de milhões de consumidores comuns. E nesse lado dos negócios da Amazon, os funcionários da InfoSec alertaram para uma “incapacidade enervante de detectar incidentes de segurança”.
Quando DeVore começou a testemunhar sobre o compromisso de longa data da Amazon com a privacidade e a segurança, os perigos que a divisão de segurança havia identificado não eram apenas teóricos. De acordo com as descobertas do Reveal e do WIRED, eles eram reais e abrangentes. Na Amazon, alguns funcionários de baixo escalão estavam usando seus privilégios de dados para bisbilhotar as compras de celebridades, enquanto outros aceitavam subornos para ajudar vendedores duvidosos a sabotar os negócios dos concorrentes, consertar o sistema de revisão da Amazon e vender produtos falsificados para clientes desavisados. Milhões de números de cartão de crédito ficaram no lugar errado na rede interna da Amazon por anos, com a equipe de segurança incapaz de estabelecer definitivamente se eles foram acessados indevidamente. E um programa que permitia aos vendedores extrair suas próprias métricas tornou-se uma porta dos fundos para desenvolvedores terceirizados acumularem dados de clientes da Amazon. Na verdade, não muito antes da audiência de setembro, a Amazon descobriu que uma empresa de dados chinesa havia coletado milhões de informações de clientes em um esquema que lembrava Cambridge Analytica.
A Amazon tinha ladrões em sua casa e dados confidenciais fluindo além de suas paredes. Mas DeVore - que havia recebido um relatório naquele ano alertando que muitos amazonenses tinham acesso a senhas armazenadas de forma insegura e que havia agressivamente derrubado um advogado da empresa por questionar a reputação da Amazon sobre privacidade do cliente - não revelou nada disso para o senadores.
POUCAS EMPRESAS FAZEM um fetiche de seus próprios preceitos e rituais exatamente como a Amazon faz.
Jeff BezosOs famosos princípios de liderança - distribuídos aos funcionários em cartões laminados, afixados nas paredes, recitados literalmente - instruem os amazonenses a mostrar uma “tendência para a ação” porque “a velocidade é importante nos negócios” (Princípio nº 9). Eles pregam a “frugalidade” porque “as restrições geram desenvoltura, autossuficiência e invenção” (nº 10). Acima de tudo, eles sustentam que os líderes da Amazon deveriam “ficar obcecados com os clientes” (nº 1). Nos primeiros dias da empresa, Bezos instituiu o que chamou de regra das duas pizzas: “Nenhum time deve ser tão grande que não possa ser alimentado com apenas duas pizzas”. Não importa o quão grande a Amazon se torne, pensava-se, ela deveria ser capaz de continuar funcionando como um bando de startups pequenas e duras - embora com acesso instantâneo e imediato aos dados e logística revolucionários da corporação. Dessa maneira,
Outro mandamento que Bezos estabeleceu nos primeiros anos da empresa foi a proibição de apresentações em PowerPoint, argumentando que elas encorajavam o pensamento superficial e distraído. Em vez disso, ele determinou que os amazonenses deveriam apresentar seus relatórios aos executivos na forma de memorandos substanciais em espaço simples - chamados de seis páginas - para serem lidos cuidadosa e silenciosamente no início de uma reunião por todos os presentes.
Nos últimos meses, o Reveal and WIRED revisou alguns dos seis páginas confidenciais que os chefes de segurança da informação da Amazon prepararam para enviar a Jeff Wilke, então CEO da operação de consumo global da Amazon, junto com o conselheiro geral David Zapolsky e o diretor financeiro Brian Olsavsky , entre 2016 e 2018. Esta conta é baseada em parte nesses memorandos, juntamente com vários outros documentos internos da Amazon e comunicações que datam de 2015, bem como entrevistas com mais de uma dezena de ex-funcionários de segurança e privacidade de dados da Amazon, muitos dos quais falaram sob condição de anonimato por temer retaliação, danos à reputação ou ameaças legais por falar abertamente.
Juntas, essas fontes mostram que os problemas de segurança de dados da Amazon continuaram aumentando até 2018, à medida que a empresa crescia. Eles também revelam que, de muitas maneiras, os desafios esmagadores da divisão surgiram dos próprios preceitos culturais que a Amazon preza - e do crescimento devorador do mundo que ajudaram a promover.
Em um comunicado enviado por e-mail, o porta-voz da Amazon Jen Bemisderfer disse que a empresa tem “um histórico excepcional de proteção de dados de clientes” e indicou que esses documentos internos são um sinal de sua forte cultura. “O fato de que as questões de privacidade e segurança da Amazon são amplamente documentadas com ampla revisão da liderança sênior destaca nosso compromisso com essas questões e demonstra a vigilância com a qual identificamos, aumentamos e respondemos a riscos potenciais”, escreveu ela. “Investimos bilhões de dólares ao longo dos anos para construir sistemas e processos para manter os dados seguros e estamos constantemente procurando maneiras de melhorar.”
Por duas décadas de seu início de história, a Amazon, como muitas empresas, terceirizou o armazenamento de seus dados para um fornecedor terceirizado, a Oracle. Mas, em meados da década de 2010, o data warehouse da Amazon havia inflado para se tornar o maior banco de dados Oracle do mundo - até 1.000 vezes maior do que qualquer outro, de acordo com uma estimativa da Amazon. Ele continha impressionantes 50.000 terabytes de informações.
Na Amazon, 3.300 pequenas equipes - que eram representadas em um mapa interno como uma orbe celestial compreendendo tantos pontos de luz - estavam acessando esses dados todos os dias, todas famintas por suas próprias análises. Eles tinham a tendência de pegar os dados de que precisavam, copiá-los e armazená-los em outro lugar, de acordo com um memorando de segurança de 2018 que analisou as raízes dos riscos de dados da empresa. O resultado: uma “proliferação em grande parte não documentada de cópias de seus conjuntos de dados necessários”.
Essa proliferação rápida e furiosa foi, em parte, o que tornou quase impossível para a divisão de segurança da informação controlar os dados da Amazon. “O número crescente de cópias de conjuntos de dados, combinado com o modelo descentralizado de responsabilidade e propriedade da Amazon”, disse o memorando, sobrecarregou a divisão de segurança com uma tarefa de Sísifo. Em 2016, na verdade, a equipe de segurança tentou mapear todos os dados da Amazon - e não foi capaz de fazer isso.
Naquela época, a Amazon havia embarcado em um esforço massivo de vários anos para transferir seus dados baseados em Oracle para um novo sistema interno, alojado nos próprios servidores da Amazon Web Services. (Em um ponto, o cara responsável por essa transição - um especialista em armazenamento de dados chamado Jeff Carter - descreveu seu trabalho em uma apresentação pública mostrando uma foto de alguns homens trocando os pneus de um carro inclinado precariamente sobre duas rodas enquanto acelerava na estrada.) Mas ainda havia dados espalhados pelo vento, não marcados, não mapeados, não rastreados.
Ao mesmo tempo, um estrato diferente do império da Amazon apresentava outro conjunto de vulnerabilidades indisciplinadas. Em todo o mundo, milhares de representantes de atendimento ao cliente da Amazon se sentaram em filas de cubículos em centrais de atendimento ou em computadores em suas próprias casas. Para garantir que eles pudessem ajudar os clientes o mais rápido possível, a empresa lhes deu a capacidade de pesquisar o histórico de compras de quase qualquer pessoa sob comando. Um ex-representante de serviço, que pediu anonimato, disse que se lembra de colegas procurando as compras de Kanye West e estrelas de cinema dos filmes dos Vingadores, até mesmo observando alguns dildos no registro de compras de uma celebridade em particular. Outros membros da equipe se lembram de colegas de trabalho procurando por ex-namoradas, namoradas ou namorados. “Todo mundo, todo mundo fez isso”, diz um ex-gerente de atendimento ao cliente. Eles não deveriam, é claro. A Amazon deixou isso bem claro várias vezes. Em um comunicado, Bemisderfer da Amazon escreveu: “Rejeitamos veementemente a noção de que o abuso desses privilégios é 'comum'”. Mas as ferramentas estavam bem ali; os agentes poderiam iniciar uma “sessão de pesquisa” para localizar um cliente que não estivesse ao telefone e, em seguida, simplesmente digitar um nome.
Já em 2015, os executivos sabiam que os amplos privilégios de acesso dos funcionários eram um problema na Amazon. Mas a curiosidade voyeurística era a menor de suas preocupações. Naquele ano, uma auditoria interna, relatada pela primeira vez pelo Politico EU, descobriu que dezenas de milhares de funcionários tinham a capacidade de "falsificar" uma conta de vendedor - muitos deles possuindo acesso a chaves secretas que lhes permitiam emitir reembolsos e visualizar pedidos de clientes histórias como se fossem o vendedor. E de acordo com as conclusões dos auditores, 23.000 deles não deveriam ter recebido todos esses poderes. A Amazon disse à Politico que, como qualquer empresa, audita suas políticas de conformidade e faz melhorias com base nessas descobertas. Mas uma auditoria de 2010 chegou a conclusões semelhantes e os problemas persistiram.
O sistema da Amazon, um memorando muito posterior diria, "permite que os associados trabalhem rapidamente em nome dos clientes da Amazon, mas coloca esses mesmos clientes em risco de abuso intencional e exposição não intencional por funcionários e contratados que receberam privilégios elevados".
Mas, de certa forma, uma das fontes de vulnerabilidade mais complicadas da Amazon era a própria divisão de segurança da informação - e quão mal equipada, disfuncional e à deriva ela era, mesmo com equipes de segurança dedicadas realizando feitos heróicos contra grandes probabilidades. Em março de 2016, o chefe de longa data da divisão, George Stathakopoulos, saiu para trabalhar na Apple, o que levou a equipe a vários meses de limbo. Mas as crises de turbulência da divisão seriam mais profundas e durariam muito mais do que isso.
AO REDOR DA CAUDA No final de 2016, um cara chamado Gary Gagnon - um executivo de segurança cibernética com décadas de experiência, principalmente no trabalho do governo federal - voou para Seattle para discutir como se tornar o novo vice-presidente de segurança da informação da Amazon. Sua última entrevista do dia foi com Wilke, o CEO do consumidor, que conheceu Gagnon em uma pequena sala de conferências fora de seu modesto escritório, vestindo uma camisa de flanela e jeans. A roupa fazia parte de uma tradição, Gagnon lembra Wilke explicando: Ele sempre se vestia como um trabalhador de depósito durante o pico da temporada de compras de fim de ano, para lembrar as pessoas na sede das pessoas que realmente mantinham a Amazon agitando.
Gagnon não estava tão ansioso por um novo emprego, diz ele, mas ficou maravilhado com Wilke e como ele parecia humilde para alguém que comandava a maior operação de varejo online do planeta. “OK”, Gagnon lembra de ter pensado, “este é um cara para quem eu posso trabalhar”.
Tudo piorou a partir daí. Em uma reunião geral no início de 2017, Wilke apresentou Gagnon como o novo líder da divisão de segurança, chocando alguns membros da equipe que esperavam que o chefe interino, um insider de longa data, conseguisse o trabalho. Quando Gagnon fez seu primeiro discurso para sua equipe, o uso frequente do prefixo “cibernético” irritou instantaneamente alguns na divisão, que o consideraram o tique do tipo de governo da Costa Leste. “Tornou-se uma piada desde o primeiro dia”, diz um ex-gerente. Gagnon diz que um funcionário mais tarde o chamou de lado e o aconselhou devidamente a abandonar o termo "cibersegurança".
Ao se estabelecer em sua nova função, Gagnon percebeu rapidamente que nem tudo estava bem com a “segurança da informação” - como ele foi instado a chamá-la - na Amazon. O tamanho da rede da empresa era espantoso, mas “tudo foi montado com fita adesiva e chiclete”, um emaranhado de software novo e antigo, diz Gagnon. “Ele cresceu fora de uma garagem e continuou crescendo a partir daí.” Novos produtos de consumo foram bloqueados com o máximo sigilo antes do lançamento, diz Gagnon. Mas, fora isso, parecia que todos na rede tinham acesso a quase tudo, incluindo informações do cliente - e ainda não havia nenhum programa de ameaças internas dedicado a evitar que funcionários desonestos abusassem de seu acesso enquanto ele estava lá. Mais fundamentalmente, diz ele, a equipe não parecia ter nenhuma maneira sistemática de priorizar seus maiores riscos de segurança. “Foi chocante para mim,
Ele herdou uma equipe de cerca de 300 pessoas, mas achou que provavelmente deveria ser cerca de 1.000. Mas, quando tentou fortalecer sua equipe, Gagnon logo descobriu que a frugalidade que admirava em Wilke representaria um problema para ele: ao pedir mais recursos, diz ele, o CEO do consumidor geralmente o rejeitava. (Wilke não foi encontrado para comentar.)
A divisão, Gagnon passou a acreditar, era essencialmente um peso morto no cálculo de lucros e perdas de Wilke. A equipe de segurança da informação da Amazon Web Services realmente gerou receita com produtos para os clientes corporativos da divisão de nuvem. Mas no lado do consumidor do negócio da Wilke, diz Gagnon, o InfoSec era visto como outro custo indireto, que afetava outros projetos que tornavam a Amazon mais rápida, lucrativa e prazerosa. “A filosofia da Amazon era sobre a experiência do cliente. Eles queriam encantar o cliente ”, diz Gagnon. “E isso às custas de todo o resto.”
A Amazon afirma que “nunca sacrificará a segurança pelos custos”. Mas, na opinião de Gagnon, o investimento em segurança da informação era mínimo: “Os orçamentos não se alinhavam com as necessidades”. Alguns ex-funcionários de segurança concordam com ele sobre esse senso de austeridade na divisão. “Eu diria aos novos contratados: 'Presuma que seu orçamento é zero e comece a partir daí. Seja o mais econômico possível '”, diz Ellie Havens, uma ex-gerente de operações de negócios da equipe de segurança.
Em um seis páginas de agosto de 2017 para Wilke, Gagnon descreveu uma série de riscos que se originaram do crescimento vertiginoso da Amazon e os recursos escassos de sua equipe de segurança. Novos dispositivos conectados ao sistema da Amazon eram continuamente descobertos sem um sistema centralizado que os rastreasse; novos centros de distribuição estavam crescendo como gangbusters, com a segurança do computador do warehouse “falhando em acompanhar”; e o processamento de pagamentos estava sendo expandido para vários novos países todos os anos, com a equipe de segurança lutando para acompanhar.
No meio de toda essa expansão, escreveu Gagnon, coisas de tirar o fôlego estavam escapando pelas rachaduras. Em maio daquele ano, os funcionários descobriram que, por um período de dois anos, os nomes e números dos cartões American Express de até 24 milhões de clientes ficaram expostos na rede interna da Amazon, fora de uma “zona segura” para dados de pagamento. Era como se um banco tivesse percebido que alguns sacos de dinheiro haviam sido deixados em um back office, fora do cofre, por várias temporadas. A exposição foi corrigida, mas a parte mais assustadora é que não havia como ter certeza se alguém bisbilhotou as credenciais de pagamento durante todo aquele tempo - porque os registros de acesso ao conjunto de dados datavam de apenas 90 dias.
“Portanto, não tínhamos ideia do que realmente era a exposição”, lembra Gagnon. "Fiquei surpreso com isso." (Bemisderfer diz,
Um problema mais fundamental enfrentado pela Amazon, conforme Gagnon avaliou em seu memorando, era este: “Não temos visibilidade dos dados que somos encarregados de proteger”, escreveu ele. “Não conhecemos sistematicamente os fluxos de dados e os locais de armazenamento de dados confidenciais.”
Em termos de segurança, a implicação era óbvia: se a equipe não sabia onde estavam todos os dados, como eles poderiam ter certeza de que não foram vazados, roubados ou manipulados de forma inadequada? Mas Gagnon também viu outro perigo gigante no horizonte. Em abril de 2016, o Parlamento Europeu aprovou o Regulamento Geral de Proteção de Dados, uma ampla lei de privacidade do consumidor que entraria em vigor em 2018. Depois disso, as empresas que operam na Europa seriam autorizadas a usar os dados das pessoas sob um conjunto de condições rigorosas e, às vezes, apenas com o seu consentimento. As empresas também seriam obrigadas a possibilitar aos clientes a exclusão de seus dados. “Não sei como vamos lidar com isso”, Gagnon se lembra de ter pensado, “porque não temos ideia de onde estão nossos dados”.
Mas esse tipo de preocupação com a privacidade também não parecia estar no topo da lista de prioridades da empresa. Quando Gagnon foi até David Treadwell, o vice-presidente responsável pela infraestrutura técnica de varejo da Amazon, para perguntar como a empresa iria lidar com o cumprimento do GDPR, a resposta de Treadwell, de acordo com Gagnon, foi: “O que é o GDPR?” Gagnon diz que mais tarde foi dito para não se preocupar, que a empresa contratou advogados para preparar a Amazon para a lei. “Quando mencionei isso, um dos advogados do departamento jurídico veio ao meu escritório e me disse para desistir completamente”, disse ele.
“Eles queriam encantar o cliente”, diz Gagnon. “E isso às custas de todo o resto.”
Não que executivos como Wilke não se importassem em manter os dados dos clientes seguros, diz Gagnon. “Eles fizeram o que achavam que era o suficiente”, diz ele. “Eles estão ganhando muito dinheiro. Seu estoque está subindo ... Eles não tinham nenhuma indicação de que qualquer coisa cibernética iria afetar seus negócios. ” Ou, pelo menos, ainda não tinha.
Em junho de 2017, em uma reunião municipal vertiginosa liderada por executivos de duas grandes corporações americanas, o CEO da Whole Foods, John Mackey, anunciou que, após um "namoro rápido", a Amazon decidiu comprar o dono da mercearia de luxo por US $ 13,7 bilhões. Ele descreveu como, em apenas algumas semanas, as duas empresas passaram de seu primeiro "encontro às cegas" para se tornarem "oficialmente noivas". Relembrando a primeira reunião dos executivos, Mackey brincou que “foi realmente amor à primeira vista”.
A equipe de segurança da Amazon, que havia alertado repetidamente sobre os riscos representados por constantemente engolir novas subsidiárias e integrá-las à rede da empresa, ficou menos impressionada. Menos de uma semana depois que o casamento forçado foi finalizado, um analista da empresa de processamento de cartão de crédito First Data ligou para um funcionário da Amazon com uma denúncia sinistra. Um corretor ucraniano acabara de colocar à venda na dark web alguns dados de cartão de crédito que poderiam indicar uma violação da Whole Foods.
A divisão de segurança da Amazon entrou em ação, alertando a Whole Foods e lançando uma investigação. Nas semanas seguintes, a equipe determinou que um notório grupo de cibercriminosos ucranianos estava dentro de partes da rede corporativa da Whole Foods desde janeiro. Os invasores controlavam 20 contas de funcionários com níveis poderosos de acesso. Eles haviam se aprofundado tanto que a equipe da Whole Foods que trabalhava na violação teve que ser transferida para um sistema de e-mail totalmente diferente para se comunicar sem medo de que os hackers espionassem, de acordo com um memorando interno.
Assim que a divisão de segurança expulsou os invasores, a Amazon notificou os clientes que os hackers haviam roubado detalhes do cartão de crédito para compras feitas em alguns restaurantes e choperias dentro das lojas da rede de supermercados. Os hackers não haviam saltado da Whole Foods para a rede maior da Amazon, mas ainda não era uma boa aparência. A violação ganhou as manchetes.
Com a lealdade e a confiança do cliente em jogo, a violação pode ter fornecido uma oportunidade para Gagnon defender mais investimentos em segurança. Mas ele não ficaria muito mais tempo. Em outubro de 2017, apenas um mês após a violação da Whole Foods, Gagnon e uma série de outros funcionários voaram para Londres para a ZonCon, a conferência de segurança da informação da Amazon apenas para convidados, um evento para formação e recrutamento de equipes. Gagnon não conseguiu passar pela conferência.
Seu destino foi selado uma noite em um jantar privado para os palestrantes do evento. Precisamente o que aconteceu lá está em discussão, mas Gagnon nunca mais voltou a trabalhar para a Amazon. No dia seguinte, diz ele, ele foi atraído para uma videochamada com Treadwell em Seattle, que lhe disse para deixar a conferência e voar para casa. Quando voltou aos Estados Unidos, diz Gagnon, foi-lhe dito que o que aconteceu em Londres foi “indesculpável”, sem receber qualquer detalhe adicional. Ele foi demitido na semana seguinte, confirmou a empresa.
O que quer que realmente tenha acontecido, o resultado para a divisão foi mais instabilidade. “Voltamos ao Senhor das Moscas”, Disse um ex-gerente de segurança da Amazon. “Foi apenas um show de merda.” A equipe estava sem líder novamente depois de menos de um ano. Com o caos no topo, outros membros da equipe sênior e gerentes também iriam embora, deixando o grupo inseguro e sem memória institucional. Os projetos descarrilaram e a segurança perderia seu principal defensor em reuniões de alto nível, dizem ex-funcionários. As equipes da divisão se acomodavam em silos, às vezes lutando entre si e operando sem visão estratégica. À medida que a busca se arrastava, alguns membros da equipe começaram a se perguntar por que era tão difícil encontrar um novo chefe. “Não conseguimos encontrar ninguém por muito tempo”, diz Havens. "Acho que se espalhou que não era um lugar fácil para trabalhar em segurança."
Por fim, a Amazon transferiu outro líder para a função de segurança da informação - alguém que pelo menos provou seu valor dentro da empresa. O novo chefe da divisão era Jeff Carter, o cara que orquestrou a monumental migração de dados da Amazon da Oracle para a Amazon Web Services. Mas havia um obstáculo: Carter não tinha experiência em segurança de dados. Como ele mesmo iria brincar mais tarde em uma apresentação, que poderia ser vista no YouTube , sua reação à oferta de emprego foi dizer: “Uh, isso não parece um emprego básico para um segurança”.
Não foi. Na época em que Carter chegou, um conjunto de gerentes da divisão de segurança da informação se reuniu para quantificar seu alarme sobre os maiores perigos que a Amazon estava enfrentando. Cada perigo foi atribuído a três pontuações: uma para o quanto poderia afetar a empresa, uma para a probabilidade de acontecer e uma para o poder que a Amazon tinha para controlá-lo. Em seguida, esses três números foram multiplicados juntos para uma pontuação de risco total.
No topo da lista da equipe de segurança estava o perigo de que as violações "passassem despercebidas" devido a "detecções limitadas, fadiga do alerta e esforço manual". O impacto de tal cenário, os gerentes determinaram, poderia ser "crítico" (5 de 5), sua probabilidade era "muito provável" (5 de 5) e a equipe "não tinha controles" contra a exposição da empresa a (5 de 5). Pontuação de risco total: 125 de 125.
Em seguida, os gerentes avaliaram o perigo de que a "falta de visibilidade em sistemas e redes" criaria uma "incapacidade de detectar incidentes de segurança". Pontuação de risco: 125 de 125. Em seguida, houve a “incapacidade” da Amazon de proteger credenciais secretas e chaves que poderiam desbloquear dados confidenciais: 125 de 125. Em seguida, veio a “incapacidade da Amazon de identificar a localização dos dados”. 125 de 125 novamente.
A Amazon diz que esses riscos foram "exagerados". Mas, por volta da mesma época, outra mensagem terrível emitida por uma unidade dentro da divisão de segurança chamada Centro de Operações de Segurança, que era responsável por detectar e responder aos ataques. Um memorando da equipe avisou que, como o grupo confiava em humanos para relatar problemas quando os encontravam em vez de ter um sistema automatizado eficaz para buscar proativamente por evidências de uma violação, um invasor poderia se esconder na rede da Amazon por anos sem sendo notado.
A Amazon alega que este memorando ignorou “vários controles de compensação e medidas alternativas” que a empresa tinha em vigor para prevenir intrusos. Ainda assim, a urgência do documento era palpável: “Não podemos dimensionar com as pessoas, simplesmente não há o suficiente, então devemos dimensionar com automação”. Mas a automação, prosseguia o memorando, estava "atualmente sem fundos".
Quando Carter se acomodou em seu novo trabalho, em resumo, os alarmes que soavam na divisão de segurança da informação foram aumentados o máximo que podiam. Enquanto isso, em outra parte da empresa, outro grupo de funcionários fervilhava de preocupação com a forma como a Amazon lidava com os dados dos clientes.
GARY GAGNON NÃO ERAo único que empalideceu ao pensar em preparar a empresa para cumprir o GDPR europeu. Em um momento em que o mundo estava cada vez mais preocupado com o uso de dados pessoais por empresas de tecnologia - não apenas se eles os mantinham protegidos de cibercriminosos, mas como eles próprios os distribuíam e os obtinham para obter lucro - a Amazon tinha apenas um pequeno punhado de funcionários que foram oficialmente encarregados de garantir a privacidade do cliente em toda a organização. A maioria deles estava agrupada no departamento jurídico da empresa sob o conselho geral associado Bill Way. E ao longo de 2017 eles lutaram para defender a privacidade em uma empresa que odiava desacelerar, onde os executivos muitas vezes pareciam não apreciar seus esforços.
Em maio de 2017, um engenheiro sênior entre este pequeno grupo de funcionários enviou um e-mail para Way esboçando a configuração geral do terreno: Abordar questões de privacidade em torno da empresa havia se tornado “um jogo brutal de whack-a-mole”, escreveu ele.
“Tive várias conversas com funcionários internos que não estavam satisfeitos com as práticas de transparência e privacidade das ferramentas que estavam desenvolvendo, mas as tentativas de consertar isso foram derrubadas pela liderança”, escreveu o engenheiro. “É claro que esses indivíduos precisam levar sua carreira em consideração antes de lutar muito contra sua cadeia de relatórios sobre essas questões, e isso aponta para a necessidade de uma equipe de privacidade centralizada para lidar com essas escaladas e batalhas”
Outros gigantes da tecnologia, escreveu o engenheiro, tinham sistemas mais maduros para lidar com questões complexas de privacidade, e a Amazon estava ficando para trás. (O Google, por exemplo, tinha muitos funcionários trabalhando com privacidade.) “Sem uma equipe de desenvolvimento de privacidade para assumir esse trabalho”, concluiu ele, “não tenho certeza se estamos bem posicionados para atualizá-lo”.
No outono de 2017, um funcionário diferente - um especialista em conformidade da Amazon - escreveu um memorando para Way e outros avisando que a empresa poderia enfrentar multas de bilhões de dólares por questões de privacidade se não desse certo. O memorando argumentava que a Amazon deveria ter como objetivo ter mais de 30 funcionários dedicados à privacidade, em vez de apenas um punhado, e disse que a empresa oferecia poucos ou nenhum recurso para treinamento de privacidade, desenvolvimento de produtos para privacidade ou mapeamento de dados. (Esse funcionário posteriormente alegou que ele foi expulso da empresa em parte por levantar essas questões, de acordo com registros analisados por WIRED e Reveal. O Politico EU também relatouem alegações de que a empresa puniu funcionários por levantar questões de segurança. “Os funcionários não sofreram retaliação”, diz Amazon. “Nenhum funcionário saiu da empresa porque havia levantado questões sobre a conformidade com os regulamentos de segurança de dados.”)
Mais tarde naquele ano, quando membros da equipe jurídica da Amazon tentaram ajudar a empresa em seu jogo de privacidade, seus esforços também foram abatidos. Em dezembro daquele ano, um advogado da empresa entrevistou um grupo de colegas para saber se a Amazon deveria se associar à Associação Internacional de Profissionais de Privacidade. Google, Facebook, Microsoft, Twitter, Oracle e Salesforce já se tornaram membros corporativos, dando a centenas de seus funcionários acesso aos seus recursos. Uma associação corporativa de primeira linha custa US $ 25.000.
“É uma maneira relativamente barata de a empresa manter nossos profissionais de privacidade conectados a essa rede e mostrar que a empresa é sensível e cuidadosa com as questões de privacidade em geral, em vez de se destacar principalmente por nossa ausência”, escreveu um Amazon com sede no Japão advogado no segmento.
Mas Andrew DeVore - o conselheiro geral associado que acabaria por testemunhar perante o Congresso sobre o "compromisso de longa data da Amazon com a privacidade e a segurança de dados" e a pessoa mais graduada da rede - rebateu a ideia: "Não acho que seja um fórum particularmente útil para alcançarmos quaisquer objetivos de privacidade mais amplos. ”
Outros advogados tentaram argumentar, mas não deu certo. “É uma situação muito desconfortável estar presente em eventos do IAPP como um membro privado”, escreveu um advogado da Amazon baseado na Alemanha, “embora esteja claro que estou trabalhando para uma empresa que parece não estar interessada em questões de privacidade. ”
Isso desencadeou DeVore.
“Qualquer pessoa - e em particular quem pretende ter qualquer envolvimento real ou compreensão das questões de privacidade - que acredita que a Amazon 'não está interessada em questões de privacidade' é um ignorante completo e absoluto”, respondeu ele. “Não estaríamos aqui e não teríamos a incrível variedade de produtos e serviços de proteção à privacidade que disponibilizamos em todo o mundo, se não fôssemos absolutamente obcecados pela privacidade em tudo o que fazemos. Temos sido desde o primeiro dia, e ainda é o primeiro dia. Então, eu espero, e espero sinceramente, que todos vocês resistam fortemente a esse tipo de porcaria. ”
A Amazon não aderiu à organização de privacidade. Amazon Web Services, a ala da computação em nuvem, mais tarde o fez. Um ex-advogado da Amazon que trabalhou para preparar a empresa para o GDPR argumenta que a afirmação de DeVore de que a empresa projetou seus produtos tendo a privacidade em mente é simplesmente imprecisa. Na época, “a Amazon não tinha controles significativos para limitar o acesso e o compartilhamento de dados pessoais do usuário, incluindo dados confidenciais, dentro da empresa”, diz o advogado. “Na Amazon, os dados pessoais do usuário fluíam como um rio.”
À medida que o prazo de maio de 2018 para cumprir o GDPR se aproximava, a questão da privacidade de dados ganhou o primeiro plano da atenção do público - cortesia do escândalo Cambridge Analytica, que eclodiu em março. De repente, noticiários matinais e apresentadores de comédias noturnas estavam ruminando uma história complicada sobre um desenvolvedor terceirizado que tomou liberdade com dados adquiridos gratuitamente por meio da interface de programação de aplicativos do Facebook. Em questão de dias, a capitalização de mercado do Facebook caiu em mais de US $ 35 bilhões.
Dentro da Amazon, funcionários de privacidade temiam que sua empresa pudesse mergulhar em seu próprio iceberg submerso de um escândalo de privacidade. Afinal, a Amazon não estava fazendo muito para se manter longe da gigantesca massa glacial que estava se formando bem na frente dela: o novo regime de privacidade da Europa, que ameaçava multas na casa dos muitos milhões de dólares. Finalmente, com apenas cinco semanas antes do prazo de aplicação de 25 de maio de 2018, “a decisão foi tomada” para criar uma equipe de privacidade para ajudar a preparar o maior varejista online do mundo para a nova lei, de acordo com um memorando de segurança da informação de julho de 2018.
A Amazon diz que sempre teve equipes de privacidade distribuídas por toda a empresa, que “começou a planejar o GDPR com anos de antecedência” e simplesmente optou por centralizar seus esforços antes do prazo. Mas meses depois, na frente do Comitê de Comércio do Senado, DeVore ainda parecia irritado com o fato de a lei europeia ter desviado a Amazon de suas prioridades centradas no cliente. “Nosso compromisso de longa data com a privacidade nos alinhou bem com os princípios do Regulamento Geral de Proteção de Dados da União Europeia”, disse DeVore. “Atender seus requisitos específicos para o manuseio, retenção e exclusão de dados pessoais exigiu que desviássemos recursos significativos para tarefas administrativas - e longe da invenção em nome dos clientes.”
Considerando o testemunho de DeVore, Gary Gagnon tem dificuldade em engolir a alegação de que a Amazon estava bem alinhada com o GDPR e tinha privacidade em seu núcleo. “É tudo besteira”, diz ele. "Besteira completa."
NA PRIMAVERAe no verão de 2018, a Amazon parecia uma força imparável com um tijolo no acelerador. A empresa tinha mais de 575.000 funcionários globais. Jeff Bezos havia sido declarado o homem mais rico do mundo, e a Amazon estava prestes a se tornar a segunda empresa do mundo, depois da Apple, a atingir o valor de US $ 1 trilhão. Como Bezos relatou em sua carta anual aos acionistas naquele abril, mais de 100 milhões de pessoas em todo o mundo se tornaram membros Prime e estavam enlouquecidas por dispositivos inteligentes como Echo Dots e Fire TV Sticks - produtos que transformaram suas vidas diárias em cada vez mais Amazon Os pontos de dados.
Foi nesse momento de relativo triunfo que uma barragem pareceu romper. Com pressa, as vulnerabilidades que a divisão de segurança da Amazon sinalizava estavam se manifestando em uma série de descobertas angustiantes.
Um dia, no final de maio, a equipe de inteligência de risco da Amazon tropeçou em um serviço de aparência superficial que estava sendo oferecido a vendedores terceirizados da Amazon - um esquema de negócios que coletava dados da Amazon de maneiras que eram, em alguns aspectos, evocativas do desastre Cambridge Analytica do Facebook . Chamado de AMZReview, o serviço se anunciava como uma forma de ajudar os vendedores a impulsionar suas classificações na plataforma da Amazon e alegava possuir informações detalhadas sobre milhões de clientes da Amazon. Enquanto a equipe investigava, eles descobriram uma verdade perturbadora sobre como o pessoal da AMZReview tinha colocado as mãos em todos os dados do cliente: a Amazon os havia deixado ficar com eles, de acordo com um rascunho de um memorando que detalhava as descobertas da equipe.
A plataforma de varejo da Amazon há muito tempo oferecia aos vendedores um programa conveniente que lhes permitia extrair dados sobre seus clientes. Tudo de que precisavam era uma chave especial para acessar a interface da Amazon e poderiam desbloquear o acesso às informações dos clientes, incluindo nomes, endereços de correspondência, números de telefone, os produtos que haviam pedido e as datas em que os fizeram. A ideia era que os vendedores pudessem usar todos esses dados para gerenciar seus negócios, possivelmente contratando seus próprios desenvolvedores de software para construir ferramentas analíticas.
O problema era que as empresas terceirizadas, ávidas por dados para monetizar, perceberam que podiam coletar as chaves de muitos vendedores diferentes e acumular enormes pools de informações de clientes sem o conhecimento dos clientes. Essa porta estava aberta há anos, com as empresas obtendo acesso fácil aos dados dos clientes da Amazon, até que a equipe da Intel descobriu o AMZReview.
Em troca de acesso a todos os dados do cliente fornecidos pela Amazon, o AMZReview se ofereceu para ajudar os vendedores a obter uma informação crucial que a Amazon estritamente reteve: os endereços de e-mail pessoais anexados aos clientes e seus comentários. Avaliações ruins podem afundar um negócio na Amazon, mas com os endereços de e-mail corretos, os vendedores podem induzir clientes insatisfeitos a retirarem seus comentários ou motivar as pessoas a deixarem bons comentários com ofertas especiais.
Como AMZReview sabia esses endereços de e-mail?
O serviço, a Amazon determinou, era um desdobramento de uma empresa de análise chinesa chamada TouchData, e parecia ter obtido os e-mails dos clientes de “outras fontes abertas e violadas” de dados na Internet. A partir daí, ele tinha maneiras de combinar endereços com resenhas da Amazon, com uma taxa de sucesso modesta. Ao todo, o AMZReview obteve chaves de acesso de 92 vendedores diferentes, permitindo-lhe extrair todas as informações dos clientes do sistema da Amazon. Ele alegou ter informações sobre 16 milhões de clientes da Amazon. (A equipe de inteligência disse que foi capaz de verificar apenas que AMZReview provavelmente coletou as informações de 4,8 milhões. TouchData nega que tenha sido conectado a AMZReview, que não está mais ativo.)
O problema era muito maior do que apenas AMZReview, que era apenas um jogador entre muitos que poderia colher dados das informações que a Amazon fornecia aos vendedores. Os comerciantes acessaram bilhões de pedidos de clientes por meio da interface da Amazon com pouca supervisão. O maior desenvolvedor terceirizado teve acesso a um bilhão de pedidos. Claro, havia regras sobre como os vendedores e desenvolvedores deveriam usar o sistema. Mas parecia, dizia o memorando, que mais da metade dos desenvolvedores terceirizados que a empresa havia pesquisado estavam violando os termos de serviço da Amazon. Um ex-funcionário familiarizado com os detalhes disse que a maioria provavelmente eram empresas legítimas. Mesmo assim, acrescenta o ex-funcionário, “houve um buraco enorme. Foi realmente absoluto. ”
O memorando dizia que a Amazon estava "compartilhando demais" os detalhes dos clientes, distribuindo muitos tipos diferentes de pontos de dados, muitas vezes sem levar em conta o que os vendedores realmente precisavam. E a Amazon “não tinha como saber”, dizia o memorando, se os dados estavam sendo acessados por vendedores reais ou por empresas terceirizadas que estavam fazendo sabe-se lá o que com eles. As empresas podem estar vendendo os dados diretamente ou usando-os para criar um marketing direcionado aos clientes da Amazon. “Acreditamos que tal uso poderia violar a confiança do cliente se ele entendesse o que estava acontecendo”, disse.
Os líderes da Amazon queriam que o problema fosse resolvido e rápido. O memorando estabeleceu um plano: a Amazon limitaria os dados compartilhados com os vendedores. Auditaria regularmente as empresas que estavam obtendo dados para detectar qualquer má conduta. Quanto à enorme quantidade de dados que já vazaram, eles decidiram simplesmente pedir às maiores empresas que se livrassem de seus dados históricos sobre os clientes da Amazon. A Amazon afirma que usou auditorias externas para garantir que os dados fossem descartados.
“A maior preocupação era apenas a óptica”, diz um ex-funcionário da Amazon que tinha conhecimento da situação. “Se tivesse descoberto que isso estava acontecendo? Toda aquela merda embaraçosa que você encomendou na Amazon, tem alguma empresa chinesa que poderia definir a data em que você comprou? Obviamente, eles não gostariam que ninguém soubesse disso. ”
Some people involved couldn't help but think of the still-broiling Cambridge Analytica scandal. But while Facebook got publicly barbecued, Amazon dealt with AMZReview quietly. Some privacy advocates say the company should have come clean. “They should have said, ‘Here's what is going on, here's what we did to fix it, and here's what we know about who got their hands on your data,’” says Bennett Cyphers, a staff technologist at the Electronic Frontier Foundation.
A Amazon diz que não há nada para ver aqui. “Não houve vazamento de dados”, disse o porta-voz da empresa Jen Bemisderfer. “Temos políticas rígidas e termos contratuais que proíbem o uso indevido de dados de clientes por vendedores e prestadores de serviços, e monitoramos e auditamos continuamente nossos sistemas para detectar o uso indevido e fazer cumprir nossas políticas.” Quando a Amazon descobriu empresas abusando de seu acesso, ela as cortou, diz ela. A Amazon também investiu em um auditor externo para garantir que as empresas cumpram. Quanto a quantos clientes tiveram suas informações recolhidas por empresas que utilizaram mal o sistema, a Amazon “não teve resposta”.
Por pior que fosse, o AMZReview não foi o único problema que a empresa descobriu naquele mês de maio. Quase exatamente ao mesmo tempo, a divisão de segurança da Amazon descobriu que várias contas da Amazon pertencentes a funcionários na China haviam sido usadas para contornar os controles da plataforma de atendimento ao cliente da empresa. De acordo com um memorando interno, essas contas mudaram os endereços de e-mail anexados a cerca de 36.000 perfis de clientes, uma mudança que teria permitido que os invasores assumissem o controle das contas dos clientes e as usassem para fraudes. Oito funcionários, incluindo um engenheiro de TI, estavam potencialmente envolvidos e pareciam estar ligados a empresas chinesas que fornecem serviços para vendedores da Amazon. Vários funcionários foram demitidos, de acordo com o memorando,
A divisão de segurança também soube que alguém dentro do sistema da Amazon havia feito login em 6.581 contas de clientes e excluído comentários que eles escreveram. Os dois incidentes pareciam relacionados. Alguém estava jogando em um dos maiores mercados do mundo e tinha ajuda interna.
Quando Jeff Carter - o novo chefe de segurança que não tinha experiência em segurança - estava pronto para enviar seu primeiro seis páginas trimestrais para executivos seniores em julho de 2018, ele começou capturando o estado ainda sujo da divisão de segurança. “Por meio de várias transições de gerenciamento, houve uma quebra de confiança entre as equipes da organização InfoSec, o que afetou o trabalho em equipe, o moral, a produtividade e a retenção”, escreveu ele no memorando. Enquanto tudo o mais na Amazon parecia estar crescendo exponencialmente, a equipe de segurança havia perdido ainda mais pessoas. Com 345 funcionários, foi 100 abaixo de seu quadro de funcionários orçado.
Carter passou a soar muitos dos mesmos alarmes de seus predecessores: a Amazon ainda não sabia onde estavam todos os seus dados. A empresa ainda não tinha capacidade suficiente para detectar ameaças automaticamente. E ainda deu a seus funcionários muito acesso a dados confidenciais de clientes. A diferença era que, para Carter, o perigo representado pelos próprios funcionários da Amazon - “a capacidade de um funcionário desonesto abusar dos sistemas internos para seus próprios fins”, como ele disse - agora se tornara uma realidade nítida. E isso só se tornaria mais grotesco à medida que 2018 se arrastava.
QUANDO ANNA LAMera uma jovem garota crescendo na ilha de Nauru, no Pacífico, sua mãe às vezes colocava um pedaço de jade verde frio em uma xícara de chá de ervas para acalmar seus medos de infância. Como um adulto de meia-idade morando na cidade de Nova York décadas depois, Lam começou um negócio vendendo produtos de beleza, alguns deles feitos da mesma pedra semipreciosa verde. Seu item mais popular na Amazon era algo chamado rolo de jade: uma pequena ferramenta cosmética que se parece um pouco com um atraente rolo de pintura em miniatura, projetado para massagear o rosto. Para comercializar o produto com sua marca, GingerChi, Lam colocou alguns close-ups artisticamente encenados de sua própria filha usando um dos rolos.
“A cor estava desaparecendo do rosto das pessoas”, disse uma pessoa envolvida nas reuniões. "Foi uma tempestade de merda."
Os rolos de jade têm um antigo pedigree chinês, mas em meados da década de 2010 foi seu prestígio no Instagram que os tornou extremamente populares. No outono de 2017, a sala de estar do apartamento de Lam estava entulhada de caixas para enviar seus rolos aos clientes. Foi quando ela notou pela primeira vez algo estranho na Amazon: o rosto de sua filha havia aparecido em uma lista do rolo de jade de outra pessoa. Um vendedor rival chamado Krasr pegou as fotos de Lam para ajudar a vender seu próprio produto imitador. Lam relatou a aparente violação à Amazon e as fotos foram retiradas.
Dois meses depois, Lam recebeu um pedido de um cliente canadense chamado Mohamed Multhazim Akbar Ali e percebeu que ele era o proprietário da marca Krasr. Então ela decidiu não cumprir o pedido, mas não pensou muito nisso. Ela estava muito ocupada lidando com a popularidade crescente de sua empresa. Em novembro daquele ano, a atriz Lea Michele plugou o rolo de jade GingerChi de Lam no Instagram. Em seguida, os produtos de Lam fizeram os guias de presentes de Natal de 2017 para a Time Out New York e a Us Weekly . “Foi como um incêndio”, diz ela. E então, "o inferno começou".
Naquela primavera, vendedores misteriosos da Amazon começaram a enviar reclamações de violação de direitos autorais contra Lam, o que levou a Amazon a suspender sua conta. Ela tentou mandar um e-mail para seus acusadores, mas nunca teve resposta, então ela suspeitou que Krasr estava por trás das reclamações. Krasr também relançou seu próprio rolo de jade com um impulso de marketing.
Quando Lam finalmente conseguiu restabelecer sua conta, meses depois, sua própria listagem na Amazon parecia se voltar contra ela, como se estivesse possuída: os clientes pediam um rolo de jade GingerChi, mas às vezes recebiam um rolo com a marca Krasr pelo correio, e seus pagamentos com cartão de crédito iriam para o rival de Lam. Os rolos Krasr eram parecidos com o produto de Lam, no que diz respeito à bolsa de tecido e ao folheto informativo, mas às vezes apresentavam defeito. Então, Krasr conseguiu a venda, os clientes receberam uma isca desanimadora e Lam recebeu as críticas negativas. (“Tudo sobre isso é suspeito”, escreveu um revisor do GingerChi depois de receber um rolo da marca Krasr que não rolou.)
Com o tempo, os sequestradores de sua lista se multiplicaram: um elenco rotativo de outros vendedores pretendia oferecer a ela o rolo de jade GingerChi direto de sua própria página. Um deles foi zombeteiramente chamado KingerChi. Lam tentou obter a ajuda da Amazon. Ela ordenava os rolos de sua página, tirava fotos mostrando que eles não eram dela e enviava reclamações para a Amazon. Depois de uma longa espera, um ou dois vendedores que vendiam rolos imitadores desapareceram, mas outros apareceram, roubando seus pedidos. Lam contratou advogados para escrever cartas de defesa à empresa. A essa altura, ela estava perdendo dinheiro, demitiu um funcionário e temia que seu negócio fosse à falência. Depois de um tempo, ela não pôde deixar de pensar que a Amazon simplesmente não se importava.
Afinal, Krasr havia sido objeto de uma longa exposição na CNBC no outono de 2017. A história identificou Ali pelo nome e descreveu como, por mais de seis meses, Krasr atacou uma empresa de cuidados com a pele com sede em Los Angeles, aparentemente para se infiltrar e sabotar sua conta na Amazon em uma série de movimentos que às vezes eram estranhamente semelhantes ao que agora estava acontecendo com Lam. A história citava mensagens de texto intimidantes de um representante da Krasr para o vendedor, alegando ser o “vírus da Amazon” e ameaçando de guerra.
A resposta da Amazon à história foi citar escrituras corporativas, dizendo que a empresa “está constantemente inovando em nome dos clientes e vendedores” e que se move rapidamente sempre que detecta malfeitores abusando de seus sistemas. E, no entanto, quase um ano depois que a história da CNBC apareceu, Krasr ainda estava atacando Lam impunemente.
O homem por trás de Krasr, entretanto, parecia estar vivendo bem. Ali - ou Zim, como ele se autodenominava - tinha vinte e poucos anos na época, e se formava em ciência da computação na Universidade de Toronto. Sua conta no Instagram mostrava um jovem elegante e confiante com uma queda por viagens pelo mundo, mergulhando em uma coluna e montando um camelo em outra. A certa altura, ele participou de uma conferência destinada a ajudar empresas canadenses a explorar o comércio eletrônico chinês, onde tirou uma foto do primeiro-ministro canadense Justin Trudeau no palco. (Ali não respondeu a vários pedidos de comentário.)
Como alvo GingerChi, Krasr correu uma miscelânea de outras linhas de produtos, vendendo de tudo, desde dispositivos repelentes de pragas ultrassônicos a anti-ronco na Amazon. Alguns de seus clientes deixaram comentários dizendo que receberam dinheiro ou brindes para excluir os comentários ruins. Lam não entendeu como a Amazon o deixou atacar vendedores por tanto tempo. Certamente Krasr tinha que estar no radar da empresa.
Lam não sabia, é claro, o quão irregular o radar da Amazon realmente era. Mas Krasr acabou chamando a atenção da empresa. Em novembro de 2018, Krasr apareceu com destaque em um dos memorandos da divisão de segurança, um rascunho do documento de seis páginas trimestral de Carter para Wilke e outros executivos importantes. A equipe de segurança havia descoberto o preocupante segredo do sucesso de Krasr: ele tinha toupeiras dentro da Amazon. “Este vendedor recrutou nossos funcionários por meio do LinkedIn e do Facebook”, dizia o memorando. Ao longo de uma série de anos, esses insiders receberam aproximadamente US $ 160.000 em recompensas. Em troca, eles usaram seus privilégios de acesso para oferecer a ele poderes divinos sobre a plataforma e qualquer vendedor que ele desejasse.
Os moles de Krasr vazaram para ele informações sobre clientes e seus pedidos, compartilharam relatórios internos de negócios e entregaram informações sobre produtos mais vendidos para que Krasr pudesse copiá-los (um movimento que a própria Amazon foi acusada de usar para derrotar seus vendedores independentes). Sob a direção de Krasr, eles restaurariam contas que haviam sido suspensas por atividades ilícitas. E às vezes eles bloqueavam vendedores que estavam em boa posição, apenas para que Krasr - na forma de um esquema de resgate - pudesse se oferecer para ajudar.
O segredo perturbador do sucesso de Krasr: ele tinha toupeiras dentro da Amazon. “Este vendedor recrutou nossos funcionários por meio do Linkedin e do Facebook”, dizia o memorando.
De acordo com o memorando de Carter, a Amazon pegou sete dos funcionários que trabalhavam com Krasr e eles revelaram seus segredos. Todos eles foram demitidos. Mas o próprio Krasr se mostrou evasivo. A Amazon o encaminhou ao FBI, dizia o memorando. “Acreditamos que Krasr esteja viajando entre Toronto e Tailândia e contratou um investigador particular para confirmar seu paradeiro”, afirma o memorando. (“Qualquer mercado com uma boa quantidade de atividade terá atores mal-intencionados tentando tirar vantagem”, diz Bemisderfer.)
Krasr finalmente abalou os líderes de segurança da Amazon, mas ele não era um caso isolado. A equipe também descobriu um funcionário na China que havia compartilhado informações confidenciais com um corretor de dados, que as vendeu no serviço de mensagens chinês WeChat, de acordo com o memorando. Além disso, encontraram um funcionário na China que ofereceu suborno a um funcionário na Índia para ajudar certos vendedores.
Para piorar as coisas para a Amazon, a notícia do problema de corrupção da empresa estava começando a se espalhar. No outono de 2018, o The Wall Street Journal relatou que os funcionários de lá estavam trocando dados por dinheiro e que um foi demitido por vazar e-mails de clientes para um vendedor.
Em resposta às histórias do Journal , a Amazon lançou um projeto interno, com o codinome Glass Door, para desenvolver maneiras de resolver o problema. Mas os líderes de segurança não eram particularmente otimistas: “Esses atores de ameaças são financeiramente motivados e continuarão persistentes na aquisição de nossos dados”, disse um rascunho de um memorando de Carter para os executivos da Amazon, “até que o fardo financeiro do invasor seja maior do que ganho financeiro."
EM JANEIRO DE 2020,depois de pouco mais de um ano e meio na função, Carter deixou seu emprego no departamento de segurança da informação da Amazon. Sua saída levou a divisão a mais vários meses de dificuldades sem um chefe.
A Amazon acabou contratando John “Four” Flynn para preencher o cargo. Flynn chegou do Uber, onde atuou como diretor de segurança da informação durante um período em que os funcionários usavam seus privilégios de dados para rastrear os movimentos de ex-namoradas e celebridades como Beyoncé. Esses abusos vieram à tona não porque o Uber os revelou, mas porque um denunciante entrou com um processo contra a empresa - e alegou, nesse processo, que ele foi demitido em parte por levantar suas preocupações com Flynn. (O Uber disse que mantém políticas rígidas para proteger os dados dos clientes e que demitiu menos de 10 funcionários por acesso impróprio. O processo terminou em um acordo.)
Flynn também estava no Uber quando a empresa abafou um hack massivo de dados do usuário. Na época em que Flynn foi contratado pela Amazon no ano passado, seu antigo chefe no Uber, o chefe de segurança Joseph Sullivan, foi indiciado por supostamente pagar hackers para manter a violação de dados escondida do público e das autoridades federais. Flynn, que não foi acusado de nenhum delito, testemunhou perante o Congresso que não estava envolvido no pagamento. “Acho que cometemos um erro ao não reportar aos consumidores”, disse ele aos legisladores. “E acho que cometemos um erro ao não reportar às autoridades.”
Na Amazon, Flynn herda alguns dos mesmos problemas que atormentaram Carter. Os serviços online obscuros ainda anunciam abertamente sua capacidade de fornecer acesso interno mediante o pagamento de uma taxa. Muitos prometem fornecer capturas de tela internas do sistema da Amazon, um anunciando-os por US $ 175 ou e-mails de clientes. Fotos de um laptop aberto no portal de suporte ao vendedor interno da Amazon, revisadas por Reveal e WIRED, mostraram os dados de localização do ponto exato na Índia onde as imagens foram tiradas no ano passado.
Em setembro de 2020, promotores federais indiciaram seis pessoas em um esquema para subornar funcionários da Amazon, dizendo que a conspiração havia continuado de pelo menos 2017 a 2020. O julgamento está marcado para o próximo ano. Alguns consultores do setor dizem que o problema da corrupção dos funcionários está pior do que nunca. Mas a Amazon afirma que rejeita veementemente a noção de que tem problemas com suborno.
A Amazon também disse à Reveal e à WIRED que “continuaria a impor e remover contas de vendedores que tenham relações com Mohamed Multhazim Akbar Ali caso alguma dessas ocorresse no futuro”. Mas, na verdade, Krasr está de volta à ação há algum tempo. Ali tem uma nova empresa, ZB Ventures, que Reveal e WIRED foram capazes de se conectar a mais de 20 marcas vendendo de tudo, desde alisadores de barba a pistolas de massagem na Amazon (algumas até ganhando o rótulo de “Escolha da Amazon”). As páginas dos produtos das marcas também estão repletas de avaliações de clientes que afirmam ter recebido a promessa de atualizações gratuitas em troca de avaliações positivas - uma prática que viola as políticas da Amazon.
O próprio Ali ainda está no vento. “Tenho mais de 8 negócios online diferentes que são em sua maioria automatizados”, diz ele em seu perfil na rede social Couchsurfing, “então estou livre na maioria dos dias para ajudar, explorar e aproveitar a vida.”
A divisão de segurança da Amazon carrega um fardo muito mais pesado. Bemisderfer escreve que os memorandos e e-mails discutidos neste artigo são “documentos antigos” que “não refletem a postura de segurança atual da Amazon”, e alguns funcionários de segurança que deixaram a empresa tendem a concordar. A divisão está progredindo, dizem eles. Os sistemas da Amazon para detecção automática de ameaças - uma área em que a empresa afirma ter feito investimentos - estão de fato melhorando constantemente. A empresa diz que fez investimentos significativos em ferramentas que identificam “onde os dados pessoais são armazenados e como eles fluem” e procedimentos que dão aos funcionários “acesso apenas aos dados que são essenciais para completar uma tarefa específica”. Mas, de modo geral, dizem os ex-funcionários, a divisão de segurança ainda está à deriva.
“Vai demorar uma eternidade para virar aquele navio”, disse um ex-gerente de segurança. O que a Amazon faz bem é construir coisas novas rapidamente, diz o ex-gerente; o que ele não faz bem é resolver problemas complexos que levam várias equipes e anos para serem resolvidos. Enquanto isso, o derramamento de sangue continua, já que a divisão continua perdendo profissionais de segurança experientes devido ao desgaste. A programação de executivos que recebem os seis pagers de Flynn também mudou: Jeff Wilke se aposentou da Amazon em março de 2021.
Enquanto isso, a vasta superfície de ataque de dados de clientes da Amazon e seu pool potencial de “atores de ameaças internas” cresceram a uma taxa quase incompreensível. Desde o testemunho de DeVore em 2018, a empresa dobrou seu número de membros Prime, para 200 milhões. Também mais do que dobrou seu número de funcionários em todo o mundo, para quase 1,5 milhão.
A empresa também alcançou grande escala em outro sentido: em agosto de 2021, fiel aos avisos dos funcionários de privacidade da Amazon, funcionários em Luxemburgo arrecadaram US $ 883 milhões em multas contra a empresa por violações do GDPR, uma penalidade mais de duas vezes maior do que todas as anteriores Multas GDPR contra outras empresas juntas. (A Amazon afirma que a decisão está relacionada à publicidade que mostra aos clientes europeus. A empresa discorda veementemente da decisão e está apelando dela.)
Mesmo assim, a fé do público na Amazon continua alta. Em julho de 2020, um ano antes de deixar o cargo de CEO, Jeff Bezos testemunhou perante o Congresso pela primeira vez, para defender a Amazon contra o crescente sentimento antitruste em Washington. (Em uma postagem na mídia social antes da audiência, Ali zombou da ideia de que os legisladores um dia controlariam Bezos. “Ele está definitivamente acima da lei”, escreveu o homem por trás de Krasr. “Nada pode ser feito a respeito”.) Em sua abertura Em comentários ao Congresso, Bezos acenou com a cabeça para alguns dos agora abundantes estudos que consideram a Amazon uma das instituições mais confiáveis na América. “Em quem os americanos confiam mais do que na Amazon para fazer a coisa certa?” ele perguntou ao comitê. “Apenas seus médicos e militares.” Mas, como ele acrescentou em sua declaração, “A confiança do cliente é difícil de ganhar e fácil de perder”. A Amazon é digna disso?
Comments