Senadores americanos questionam papel da AWS em incidente

Da Redação
24/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Eles querem saber se a Amazon violou a lei federal ao deixar de proteger os servidores alugados pelo grupo financeiro Capital One, hackeados em Julho

Dois senadores democratas dos EUA pediram hoje oficialmente que a Federal Trade Commission investigue se a Amazon violou a lei federal ao deixar de proteger os servidores alugados pelo grupo financeiro Capital One. Em 19 de Julho, o grupo anunciou que os servidores foram comprometidos, permitindo o vazamento de informações pessoais de aproximadamente cem milhões de americanos.

Os senadores são Ron Wyden, do Oregon, e Elizabeth Warren, de Massachusetts. Eles escreveram uma carta ao presidente da FTC, Joseph Simmons, pedindo que abra uma investigação para determinar como a potencial negligência da Amazon poderia ter causado esse problema. Os senadores observam que o hacker atacou os servidores da Capital One usando uma técnica muito popular de ataque cibernético, que é falsificar uma solicitação ao servidor ou SSRF (Server-Side Request Forgery). Utilizando uma URL especialmente preparada, é possível obter muita informação de servidores mal configurados. Os políticos supõem que era esse o caso dos servidores alugados pela Capital One na AWS.

Na carta, eles dizem que “a Amazon sabia, ou deveria saber, que a AWS era vulnerável a ataques SSRF. Embora os concorrentes da Amazon tenham abordado a ameaça de ataques SSRF há vários anos, a Amazon continua a vender serviços de computação em nuvem com defeito para empresas, agências governamentais e para o público em geral . Dessa forma, a Amazon compartilha alguma responsabilidade pelo roubo de dados de 100 milhões de clientes da Capital One.”

Os senadores anexaram a correspondência que receberam em agosto da AWS, na qual a empresa reconhece que o incidente explorou uma vulnerabilidade de SSRF. Warren e Wyden escreveram que há anos, dois dos maiores concorrentes da empresa, Google e Microsoft, equipam seus produtos com proteções obrigatórias contra SSRFs.

Os senadores também disseram que é provável que a gigante de tecnologia esteja ciente de que seus produtos AWS podem ser ameaçados por esses ataques desde 2014, quando um pesquisador de segurança cibernética fez a primeira demonstração de alto nível da vulnerabilidade. Em 2018, um especialista em segurança cibernética também entrou em contato com a equipe de segurança da Amazon e recomendou que ela adotasse defesas semelhantes às de seus concorrentes.

“A Amazon falhou em reagir a este relatório de terceiros e não forneceu uma explicação para sua inércia”, escreveram os senadores. “Pedimos que você investigue se a falha da Amazon em proteger seus serviços contra ataques da SSRF constitui uma prática comercial injusta, que violaria a lei”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest