Amazonの元セキュリティ担当責任者が「顧客の個人情報に一般従業員が自由にアクセスできていた」と証言

Amazonの社内には、ユーザーの購入したものや検索したもの、Alexaに話しかけた内容を保存した膨大なデータベースが存在します。Amazonのデータベースが一時期、一般従業員がユーザーの個人情報に簡単にアクセスできる状態となっており、Amazonが大きなセキュリティリスクを看過していたことが報じられています。

Ex Amazon exec says customer data protection was a mess
https://www.fastcompany.com/90699295/amazon-allowed-major-breaches-in-customer-data-protection-alleges-ex-chief-of-infosec

Amazon reportedly gave employees access to practically all customer data - Protocol — The people, power and politics of tech
https://www.protocol.com/bulletins/amazon-data-investigation

IT関連メディアであるWiredは内部文書を入手し、「顧客情報があまりにずさんに管理されており、従業員であれば誰でもアクセスできていた」と報じました。Wiredによれば、Amazonの元最高情報セキュリティ責任者だったゲイリー・ガニョン氏がその職についた2017年までのおよそ2年間、約2400万件のクレジットカードの番号と名前がAmazonのシステム内の「安全でない場所」に保管されており、さらにデータが不正にアクセスされたかどうかを確認する手段がなかったとのこと。

ガニョン氏によれば、Amazonの内部セキュリティシステムは貧弱で、一般従業員が顧客の購入データをのぞいたり、競合他社を妨害したいバイヤーから賄賂を受け取って不正にレビューを改ざんしたりすることも可能な状態だったのこと。当時のAmazonには従業員のセキュリティリスクを防ぐシステムがなく、ガニョン氏は「フリー・フォー・オール(完全解放)」の状態だったと述べています。

また、ガニョン氏は、Amazonのセキュリティシステムは外部からの脅威を見逃すこともあったと証言しています。調査によると、Amazonの出品者評価プログラムは、サードパーティの開発者に顧客データの収集を可能にしており、開発者の中には数百万人のユーザーの情報を収集した中国のデータ企業も含まれていました。

その後、ガニョン氏の率いるセキュリティチームがAmazon社内のセキュリティ問題をすべて5段階で評価し、対処を行っていきました。しかし、ガニョン氏のチームは当初1000人近くの人員がいる予定だったにもかかわらず、実際は300人ほどだったとのこと。ガニョン氏がさらなる人員を要求したところ、別部門から人員の追加を断られたそうです。ガニョン氏は「情報セキュリティチームはAmazonにとって重荷と見なされていたようです」と語り、次から次へと問題が噴出するため、問題への対処作業はモグラたたきのようだったと述懐しています。

Amazonの広報担当者であるジェン・ベミスデルファー氏はWiredの取材に対して「Amazonは顧客データの保護には並外れた実績があります」と述べ、ガニョン氏の実績は「例外的なもの」とコメント。ベミスデルファー氏は「Amazonのプライバシーとセキュリティの問題が文書化されているのは、Amazonのセキュリティに対する取り組みを強調するものであり、潜在的なリスクを見定め、対応するための注意を喚起するためのものです」と述べました。