Дилемма Amazon Cloud Storage раскрывается в последней утечке информации от Facebook

После того, как исследователь безопасности Крис Викери обнаружил миллионы записей пользователей Facebook Inc., которые не были защищены в общедоступной базе данных, он несколько недель пытался заставить Amazon Inc., владельца серверов, на которых хранились данные, уничтожить их.

«Мы изучаем ситуацию и оцениваем любые дополнительные шаги, которые мы можем предпринять», - последовал ответ сотрудников службы безопасности Amazon на одно из последующих сообщений Викери 21 февраля - через три недели после того, как он первоначально представил данные Amazon. внимание.

Рассматриваемый набор содержал 540 миллионов единиц информации, таких как идентификационные номера, комментарии, реакции и имена учетных записей, которые были отобраны со страниц Facebook и сохранены на серверах Amazon цифровой платформой Cultura Colectiva в Мехико . Записи были доступны и доступны для загрузки всем, кто мог найти их в Интернете, и они не были сняты до 3 апреля, после того как Facebook - по сообщению Bloomberg News - связался с Amazon.

Медленный ответ подчеркивает дилемму, с которой сталкиваются такие компании, как Amazon Web Services, которые наряду с гигантами облачных вычислений Microsoft Corp. и Google Alphabet Inc. приносят миллиарды долларов дохода, предоставляя услуги хранения и другие вычислительные услуги через удаленные центры обработки данных. , Если бы Amazon прекратил обслуживание клиентов, он мог бы открыться для судебных исков и рискнуть нарушить доверие клиентов, сказал Шон Керран , который консультирует компании по вопросам безопасности для консалтинговой фирмы West Monroe Partners. «Это действительно серая область между ответственностью [Amazon] и покупателем», - сказал он.

По словам Викери, Amazon считает себя ответственным за серверы, которые заполняют центры обработки данных, и ее клиенты должны отвечать за информацию, которая там хранится. «Такие компании, как Amazon Web Services, выдвигают повествование о модели совместной ответственности, где они несут ответственность за оборудование», - сказал он в интервью Bloomberg TV. «И затем те, кто платит за хранение данных, должны правильно настроить свои экземпляры хранилища, чтобы никто в Интернете не мог получить к ним доступ».

Викери сказал, что он также обратился к Cultura Colectiva, чтобы снять данные, но не получил ответа.


Какую бы роль ни сыграла Amazon, этот эпизод является лишь последним затруднением для Facebook, все еще страдающим от откровений в прошлом году, что компания потеряла данные, которые она передала третьим сторонам. Facebook на протяжении многих лет позволял любому, кто создает приложение на своем сайте, получать информацию о людях, использующих приложение, и друзьях этих пользователей. После того, как данные попали в руки Facebook, разработчики смогли сделать с ними все, что захотят.

Facebook в своем заявлении сказал, что с Amazon работали над уничтожением базы данных. Неясно, потянул ли Amazon сам разъем, или убедил Cultura Colectiva перевести файлы в автономный режим.

Клиенты AWS «владеют и полностью контролируют свои данные», говорится в заявлении Amazon. «Когда мы получаем отчет о нарушении в отношении контента, который не является явно незаконным или иным образом запрещенным, мы уведомляем соответствующего клиента и просим его принять соответствующие меры, что и произошло здесь».

Amazon выросла в крупнейшего в мире поставщика систем хранения данных и вычислительной мощности по требованию, отчасти обещая крупным компаниям, что их данные будут такими же приватными в облаке, как и на сервере в подсобном помещении.

«Они просто не хотят начинать прецедент, когда они вмешиваются в данные», - сказал Викери, когда у него были проблемы с тем, чтобы Амазон убрал их. «Если они начнут закрывать доступ к утечкам данных, они начнут еще больше становиться ответственными. Они в затруднительном положении.

На своем веб-сайте AWS сообщает, что клиенты сохраняют право собственности на данные, которые они загружают в сервис. «Мы не получаем доступ к вашему контенту и не используем его для каких-либо целей без вашего согласия», - сказали в компании. Microsoft и Google дают аналогичные гарантии в отношении своего облачного бизнеса.

Несмотря на это, как только Amazon узнает об информации, которая не должна быть общедоступной, она должна быстро предпринять шаги для обеспечения конфиденциальности данных, сказал Ашкан Солтани, исследователь конфиденциальности и бывший директор по технологиям Федеральной торговой комиссии.

Викери соглашается. «Я надеюсь, что, когда они будут уведомлены, они предпримут больше шагов, чтобы закрыть его», - сказал он.

Условия обслуживания Amazon предоставляют компании широкие возможности для удаления контента, который он считает незаконным. В случаях, когда контент нарушает права третьих лиц, Amazon может отключить службу с уведомлением за два дня.

После ряда непреднамеренных раскрытий информации, хранящейся в AWS Simple Storage Service, в последние годы компания усложнила для своих клиентов, прежде всего, обнародование данных, добавив в сервис предупреждения, когда что-то раскрывается, и дав администраторы упростили варианты закрытия открытых баз данных.