Il senatore Wyden vuole risposte da Amazon sull'hacking di Capital One

Un senatore americano dell'Oregon vuole che Amazon spieghi il ruolo che ha avuto in un hack che ha rivelato dati sensibili di oltre 100 milioni di richiedenti una carta di credito Capital One.
Il senatore Ron Wyden ha inviato una lettera al CEO di Amazon Jeff Bezos martedì chiedendo della natura dell'hacking e se le vulnerabilità nei servizi cloud dell'azienda abbiano qualcosa a che fare con esso.
La scorsa settimana, l'ingegnere con sede a Seattle Paige Thompson è stato arrestato per presunto hacking dei database di Capital One.
Il reclamo contro Thompson non nomina il fornitore cloud di Capital One, ma la società è un cliente dei servizi Web Amazon.
Thompson ha lavorato come ingegnere di sistema per Amazon dal 2015 al 2016, secondo il suo curriculum online.
Secondo la denuncia, Thompson ha violato un firewall per applicazioni Web non configurato correttamente.
Sebbene una corretta configurazione spetti ai clienti cloud, Wyden vuole scoprire se si tratta di una vulnerabilità che lascia regolarmente esposti i clienti dei servizi Web Amazon.
"Quando una grande azienda perde dati su cento milioni di americani a causa di un errore di configurazione, l'attenzione si concentra naturalmente sulle pratiche di sicurezza informatica di quella società", afferma la lettera di Wyden.
"Tuttavia, se diverse organizzazioni commettono tutti errori di configurazione simili, è tempo di chiedere se la tecnologia di base deve essere resa più sicura e se la società che la condivide sia responsabile delle violazioni." Amazon non è immediatamente raggiungibile per commentare.
In una dichiarazione al Wall Street Journal durante il fine settimana, Amazon ha dichiarato che nessuno dei suoi servizi era la causa sottostante dell'hacking.
La società ha osservato che offre strumenti per aiutare i clienti a monitorare questo tipo di violazioni.
Capital One ha affermato in precedenza che "questo tipo di vulnerabilità non è specifico per il cloud.
Gli elementi di infrastruttura coinvolti sono comuni sia al cloud che agli ambienti di data center locali.
”Le domande di Wyden per Bezos si concentrano su un tipo di hack in cui un hacker sfrutta una vulnerabilità di richiesta di falsificazione sul lato server.
In questi casi, gli hacker prendono di mira i sistemi interni protetti da firewall.
In particolare, Wyden vuole sapere: se Thompson ha sfruttato una vulnerabilità di contraffazione richiesta lato server per eseguire il furto di capitale Uno Quanti clienti sono stati compromessi da quel tipo di attacco negli ultimi due anni Quali passi ha fatto Amazon per educare i propri clienti riguardo minaccia di attacchi lato contraffazione di richieste lato server La lettera richiede anche ulteriori informazioni su un tweet inviato da un ingegnere del software di sicurezza a Netflix a luglio.
L'ingegnere avrebbe chiesto ad Amazon di fornire una protezione aggiuntiva dagli attacchi di falsificazione delle richieste sul lato server e non ha ricevuto una "risposta soddisfacente".
Il tweet da allora è stato eliminato.
Netflix ha chiesto all'ingegnere di rimuovere il tweet perché non riflette l'atteggiamento dell'azienda nei confronti di Amazon, secondo il Wall Street Journal, che per la prima volta riportato sulla lettera di Wyden.
Sia Netflix che Capital One sono elencati sul sito Web Amazon Web Services come storie di successo dei clienti.
Amazon afferma che i suoi servizi cloud hanno oltre un milione di clienti attivi.
Il Wall Street Journal ha anche pubblicato una profonda immersione durante il fine settimana che illustra in dettaglio il modo in cui Thompson ha presumibilmente eliminato il massiccio furto di dati.
Thompson dovrebbe comparire in tribunale a Seattle il 15 agosto.
La violazione di Capital One potrebbe gettare un'ombra sugli sforzi di Amazon di ottenere un contratto molto richiesto per costruire il cloud del Pentagono.
Microsoft e Amazon sono i contendenti finali del progetto Joint Enterprise Defense Infrastructure.
Al vincitore verrà assegnato il compito di revisionare l'infrastruttura tecnologica del Dipartimento della Difesa e di costruire un sistema che consenta a diversi rami dell'esercito di condividere informazioni sensibili nel cloud.
Nella sua lettera, Wyden suggerisce che Amazon Web Services potrebbe essere "l'elemento comune in una serie di hack di alto profilo rivolti a grandi aziende." "Ciò solleverebbe seri interrogativi sul fatto che anche altre società ed enti governativi che utilizzano i prodotti di cloud computing di Amazon siano vulnerabile ", ha detto Wyden.
Wyden ha chiesto a Bezos di rispondere alle sue domande entro il 13 agosto.
Nota del redattore: questa storia è stata aggiornata per chiarire che l'hacker ha avuto accesso alle informazioni di 100 milioni di richiedenti carte di credito Capital One.