Bí mật Tối Của Amazon: Không Bảo Vệ Thông Tin Của Bạn
Vào ngày 26 tháng 9, 2018, một hàng loạt các giám đốc công nghệ đi vào một phòng thí nghiệm được làm bằng đá cẩm thạch và gỗ và ngồi xuống phía sau một hàng micro và những chiếc chai nước nhỏ. Tất cả đều đã được gọi để chứng minh trước Ủy ban Thương mại của Hạ viện Mỹ về một chủ đề khô khan - bảo quản và quyền riêng tư của dữ liệu khách hàng - một chủ đề đã khiến nhiều người tức giận như điên trong thời gian gần đây.
Chủ tịch Ủy ban John Thune, đến từ South Dakota, mở đầu cuộc điều trần, sau đó bắt đầu liệt kê các sự kiện trong năm vừa qua đã cho thấy cách một nền kinh tế xây dựng trên dữ liệu có thể trở nên rối bời. Đã 12 tháng kể từ khi tin tức về một vụ vi phạm có thể tránh được tại công ty tín dụng Equifax đã đòi đi tên, số xã hội và các thông tin nhạy cảm khác của hơn 145 triệu người Mỹ. Và đã là sáu tháng kể từ khi Facebook bị cuốn vào vụ bê bối về Cambridge Analytica, một công ty tình báo chính trị đã quản lý thu thập thông tin riêng tư từ tới 87 triệu người dùng Facebook để thực hiện một kế hoạch tâm lý học tưởng như Bond để giúp Donald Trump đến Nhà Trắng.
Để ngăn chặn những lạm dụng như thế này, Liên minh châu Âu và tiểu bang California đều đã thông qua các quy định quyền riêng tư dữ liệu mới to lớn. Bây giờ, Thượng viện, Thune nói, đang sẵn sàng để viết các quy định của mình. “Câu hỏi không còn là liệu chúng ta cần một luật liên bang để bảo vệ quyền riêng tư của người tiêu dùng hay không,” ông tuyên bố. “Câu hỏi là, luật đó sẽ có dạng như thế nào?” Ngồi trước thượng nghị sĩ, sẵn sàng giúp trả lời câu hỏi đó, là đại diện từ hai công ty viễn thông, Apple, Google, Twitter và Amazon.
Điều đáng chú ý vắng mặt trong đội hình là ai đó từ Facebook hoặc Equifax, cả hai công ty này đều đã bị Quốc hội thẩm vấn riêng biệt. Vì vậy, đối với các giám đốc tập trung, cuộc điều trần đánh dấu cơ hội để bắt đầu đưa ra yêu sách về các quy định thân thiện - và để đảm bảo Quốc hội rằng, tất nhiên, các công ty của họ hoàn toàn kiểm soát vấn đề này.
Không có giám đốc điều trần nào trong cuộc điều trần đã phát triển niềm tin tự tin như Andrew DeVore, đại diện từ Amazon, một công ty hiếm khi chứng kiến trước Quốc hội. Sau lời chào ngắn gọn nhất, ông bắt đầu bài diễn thuyết mở đầu của mình bằng cách trích dẫn một trong những nguyên tắc cơ bản của công ty của mình cho các thượng nghị sĩ: “Sứ mệnh của Amazon là trở thành công ty phục vụ khách hàng tốt nhất trên trái đất.” Đó là một dòng chung, nhưng nó khiến luật sư kiêm Phó Tổng giám đốc nghe có vẻ như ông đang nói như một đại sứ từ một hành tinh lớn và quan trọng hơn.

DeVore, một cựu công tố viên với đặc điểm rắn rỏi, đã làm rõ rằng điều Amazon cần nhất từ các lập pháp viên là sự can thiệp tối thiểu. Niềm tin của người tiêu dùng đã là ưu tiên hàng đầu của Amazon, và cam kết về quyền riêng tư và an ninh dữ liệu đã được tích hợp vào mọi hoạt động của công ty. “Chúng tôi thiết kế sản phẩm và dịch vụ của mình sao cho dễ dàng cho khách hàng hiểu rõ khi dữ liệu của họ được thu thập và kiểm soát khi nó được chia sẻ,” ông nói. “Khách hàng của chúng tôi tin tưởng chúng tôi xử lý dữ liệu của họ một cách cẩn thận và thông minh.”
Về điểm cuối cùng này, DeVore có lẽ đang đưa ra một giả định an toàn. Trong năm đó, một nghiên cứu của Đại học Georgetown phát hiện Amazon là tổ chức được tin tưởng thứ hai tại Hoa Kỳ, sau quân đội. Nhưng như các công ty như Facebook đã học được trong những năm gần đây, sự tin tưởng công cộng có thể mong manh. Và khi nhìn lại, điều thú vị nhất về lời làm chứng của Amazon vào năm 2018 là điều DeVore không nói.
Ngay vào thời điểm đó bên trong Amazon, bộ phận chịu trách nhiệm bảo vệ dữ liệu của khách hàng cho hoạt động bán lẻ của công ty đang trong tình trạng hỗn loạn: thiếu nhân sự, tinh thần đang chờ đợi, mệt mỏi do thay đổi lãnh đạo thường xuyên và - theo nhận định của chính những người lãnh đạo của mình - bị hạn chế nghiêm trọng trong khả năng thực hiện công việc của mình. Năm đó và năm trước đó, nhóm này đã cảnh báo các nhà quản lý của Amazon rằng thông tin của nhà bán lẻ đang bị đe dọa. Và những thực hành của công ty đang làm tăng nguy cơ.
Theo các tài liệu nội bộ được xem xét bởi Reveal từ Trung tâm Báo cáo điều tra và MYTOUR, đế chế dữ liệu khách hàng rộng lớn của Amazon - hồ sơ lan tỏa về những gì bạn tìm kiếm, bạn mua gì, bạn xem những chương trình nào, bạn uống viên gì, bạn nói gì với Alexa và ai đang ở cửa trước nhà bạn - đã trở nên rộng lớn, phân mảnh và được chia sẻ một cách rối bời bên trong công ty đến mức bộ phận an ninh không thể thậm chí cả định vị hết nó, chưa kể đến việc bảo vệ đường biên của mình.
Với tên gọi là dịch vụ khách hàng nhanh chóng, sự phát triển không kiểm soát và “sáng tạo liên tục vì lợi ích của khách hàng” - để làm hài lòng bạn - Amazon đã mang lại cho một phần lớn lực lượng lao động toàn cầu của mình quyền lực phi thường để tiếp xúc với dữ liệu khách hàng theo ý muốn. Đó là, như Gary Gagnon, cựu Giám đốc An ninh Thông tin hàng đầu của Amazon gọi đó là, một “cuộc đua” không có ràng buộc trong việc tiếp cận nội dung khách hàng. Và như các nhà lãnh đạo an ninh thông tin đã cảnh báo, cuộc đua không có ràng buộc này đã mở cửa rộng cho “những tác nhân đe dọa nội bộ” đồng thời làm cho việc theo dõi nơi mà dữ liệu của Amazon đang chảy đi trở nên vô cùng khó khăn.
Để rõ ràng: Câu chuyện này không liên quan đến Amazon Web Services, cánh cụm máy chủ đám mây quản lý dữ liệu cho hàng triệu doanh nghiệp và cơ quan chính phủ, có hệ thống bảo mật thông tin riêng. Đây là về nền tảng bán lẻ trực tuyến được hàng trăm triệu người tiêu dùng sử dụng của Amazon. Và trong phần kinh doanh của Amazon đó, nhân viên An ninh thông tin cảnh báo về một “khả năng không thể phát hiện các sự cố bảo mật.”
Đến lúc DeVore bắt đầu chứng minh về cam kết lâu dài của Amazon đối với quyền riêng tư và an ninh, những nguy hiểm mà bộ phận an ninh đã xác định không chỉ là lý thuyết. Theo những phát hiện của Reveal và MYTOUR, chúng là thực tế và lan rộng. Ở khắp mọi nơi trong Amazon, một số nhân viên cấp thấp đang sử dụng đặc quyền dữ liệu của họ để rình rập những giao dịch mua sắm của người nổi tiếng, trong khi những người khác nhận hối lộ để giúp những người bán đen đỏ doạ doanh nghiệp đối thủ, làm giả hệ thống đánh giá của Amazon và bán các sản phẩm giả mạo cho khách hàng không hề hay biết. Hàng triệu số thẻ tín dụng đã đặt ở sai vị trí trên mạng nội bộ của Amazon trong nhiều năm, mà đội ngũ an ninh không thể xác định một cách rõ ràng liệu chúng đã bị truy cập một cách không đúng đắn hay không. Và một chương trình cho phép người bán trích xuất số liệu của mình đã trở thành một lối vào phía sau cho các nhà phát triển bên thứ ba tích tụ dữ liệu khách hàng của Amazon. Trong thực tế, không lâu trước cuộc điều trần vào tháng 9, Amazon đã phát hiện ra rằng một công ty dữ liệu Trung Quốc đã thu thập hàng triệu thông tin của khách hàng trong một kế hoạch giống với Cambridge Analytica.
Amazon có kẻ trộm trong nhà và dữ liệu nhạy cảm đang dòng chảy ra ngoài tường của mình. Nhưng DeVore - người đã nhận được một báo cáo trong năm đó cảnh báo rằng quá nhiều người làm việc tại Amazon có quyền truy cập vào mật khẩu được lưu trữ không an toàn, và người đã mạnh mẽ đối đầu với một luật sư của công ty khi đặt câu hỏi về danh tiếng của Amazon về quyền riêng tư của khách hàng - không tiết lộ bất kỳ điều nào đó cho các thượng nghị sĩ.
Rất ít tập đoàn lại tạo ra một tín ngưỡng như thế của chính mình và các nghi lễ như Amazon đã làm.
Các nguyên tắc lãnh đạo nổi tiếng của Jeff Bezos - được phát phổ biến cho nhân viên trên các thẻ nhựa, treo trên tường, được đọc theo bản văn - chỉ dẫn Amazonians phải thể hiện 'thiên hướng hành động' vì 'tốc độ quan trọng trong kinh doanh' (Nguyên tắc số 9). Họ thuyết giáo 'tiết kiệm' vì 'ràng buộc tạo ra sự sáng tạo, tự chủ và sáng tạo' (số 10). Trên tất cả, họ khẳng định rằng các nhà lãnh đạo của Amazon nên 'ám ảnh bởi khách hàng' (số 1). Trong những ngày đầu của công ty, Bezos thiết lập điều mà ông gọi là nguyên tắc hai chiếc bánh pizza: 'Không có đội nào nên lớn đến nỗi nó không thể được nuôi chỉ bằng hai chiếc bánh pizza.' Cho dù Amazon trở nên đến đâu, tư duy là, nó nên có thể tiếp tục hoạt động như một đám start-up nhỏ, cứng nhắc - mặc dù có quyền truy cập ngay lập tức và trực tiếp vào dữ liệu và hệ thống vận chuyển hàng đầu thế giới của tập đoàn. Như vậy, Amazon sẽ tiếp tục là một nơi sống động nơi, để trích dẫn một đoạn thơ khác trong kinh thánh doanh nghiệp, đó là 'luôn là ngày thứ nhất.'
Một điều răn mà Bezos đặt ra trong những năm đầu của công ty là cấm bài thuyết trình PowerPoint, lập luận rằng chúng khuyến khích tư duy nông cạn và phân tâm. Thay vào đó, ông quyết định rằng Amazonians nên trình bày báo cáo của họ cho các nhà quản lý dưới dạng các bản ghi chặt chẽ, đơn kỳ - được gọi là 'six-pagers' - để được đọc cẩn thận và im lặng ở đầu cuộc họp bởi tất cả mọi người tham dự.

Trong vài tháng gần đây, Reveal và MYTOUR đã xem xét một số bản ghi 'six-pagers' mà các trưởng bảo mật thông tin của Amazon đã chuẩn bị để nộp cho Jeff Wilke, khi đó là CEO của hoạt động tiêu dùng toàn cầu của Amazon, cùng với cố vấn pháp lý David Zapolsky và Tổng Giám đốc Tài chính Brian Olsavsky, từ năm 2016 đến 2018. Tài khoản này dựa một phần vào những bản ghi đó, cùng với nhiều tài liệu và thông điệp nội bộ khác của Amazon từ năm 2015, cũng như cuộc phỏng vấn với hơn một tá cựu nhân viên bảo mật dữ liệu và quyền riêng tư của Amazon, nhiều người trong số họ đã nói trên điều kiện giữ bí mật vì họ sợ bị trả thù, tổn thương danh tiếng hoặc đối mặt với đe dọa pháp lý khi nói mở lời.
Tổng hợp lại, những nguồn thông tin này cho thấy rằng vấn đề bảo mật dữ liệu của Amazon tiếp tục tích tụ qua năm 2018 khi công ty phát triển. Họ cũng tiết lộ rằng, ở nhiều cách, những thách thức lớn lao của bộ phận đã phát sinh từ những nguyên tắc văn hóa mà Amazon trân trọng - và từ sự phát triển nhanh chóng của chúng mà chúng đã giúp thúc đẩy.
Trong một tuyên bố qua email, người phát ngôn của Amazon, Jen Bemisderfer, cho biết công ty có 'một lịch sử xuất sắc trong việc bảo vệ dữ liệu của khách hàng,' và cho biết những tài liệu nội bộ này là một dấu hiệu về văn hóa mạnh mẽ của Amazon. 'Việc các vấn đề về quyền riêng tư và an ninh của Amazon được ghi chép một cách tỉ mỉ với sự xem xét rộng lớn từ lãnh đạo cấp cao làm nổi bật cam kết của chúng tôi đối với những vấn đề này và chứng minh sự cảnh báo mà chúng tôi đưa ra, nâng cao và đáp ứng những rủi ro tiềm ẩn,' cô viết. 'Chúng tôi đã đầu tư hàng tỷ đô la qua nhiều năm để xây dựng hệ thống và quy trình để giữ cho dữ liệu an toàn và liên tục tìm kiếm cách để cải thiện.'
Trong hai thập kỷ đầu tiên của lịch sử phát triển của mình, Amazon, giống như nhiều công ty khác, đã outsourced việc lưu trữ dữ liệu của mình cho một nhà thầu bên thứ ba, Oracle. Nhưng vào giữa thập kỷ 2010, kho dữ liệu của Amazon ở đó đã phình lên trở thành cơ sở dữ liệu Oracle lớn nhất thế giới - lớn tới 1.000 lần so với bất kỳ cái khác, theo một ước lượng của Amazon. Nó chứa một lượng thông tin khổng lồ là 50.000 terabyte.
Tại Amazon, 3.300 đội nhóm nhỏ - được biểu diễn trong một bản đồ nội bộ dưới dạng một quả cầu thiên cảnh bao gồm nhiều điểm sáng - đang sử dụng dữ liệu đó mỗi ngày, tất cả đều đói khát cho phân tích của họ. Họ có xu hướng lấy dữ liệu mà họ cần, sao chép nó và lưu trữ ở nơi khác, theo một bản thảo bảo mật năm 2018 phân tích nguồn gốc của các rủi ro dữ liệu của công ty. Kết quả: một 'sự phát triển chủ yếu không được ghi chép của các bản sao của các bộ dữ liệu yêu cầu của họ.'
Sự phát triển nhanh chóng và điên rồ đó, ở một phần, làm cho nó gần như không thể để bộ phận bảo mật thông tin nắm bắt được dữ liệu của Amazon. 'Số lượng ngày càng tăng của các bản sao của các bộ dữ liệu, kết hợp với mô hình chủ thể và sở hữu phân tán của Amazon,' bản thảo nói, làm nhiễm sắc nhiệm vụ khó khăn. Thực tế, vào năm 2016, đội bảo mật đã cố gắng ánh xạ toàn bộ dữ liệu của Amazon - và không thể làm được điều đó.
Khi đó, Amazon đã bắt đầu một nỗ lực lớn, kéo dài nhiều năm để chuyển dữ liệu dựa trên Oracle của mình sang một hệ thống nội bộ mới, đặt tại các máy chủ riêng của Amazon Web Services. (Tại một thời điểm, người đứng đầu quá trình chuyển đổi đó - một chuyên gia lưu trữ dữ liệu tên Jeff Carter - mô tả công việc của mình trong một bài thuyết trình công khai bằng cách hiển thị một bức ảnh về một số người đang thay bánh xe của một chiếc xe được nghiêng nguy hiểm trên hai bánh xe khi nó chạy xuống đường.) Nhưng vẫn còn dữ liệu rải rác như gió, không được đánh dấu, không được ánh xạ, không được theo dõi.
Cùng một lúc, một tầng khác của đế chế Amazon giới thiệu một bộ lỗ hổng không ngựa. Trên khắp thế giới, hàng nghìn đại diện dịch vụ khách hàng của Amazon ngồi trong hàng loạt các góc làm việc ở các trung tâm cuộc gọi hoặc tại máy tính ở nhà riêng của họ. Để đảm bảo rằng họ có thể giúp khách hàng càng nhanh càng tốt, công ty cho họ quyền xem lịch sử mua sắm của gần như bất kỳ ai bất cứ khi nào. Một cựu đại diện dịch vụ, yêu cầu giữ bí mật tên, nói rằng anh nhớ đồng nghiệp xem lịch sử mua sắm của Kanye West và các ngôi sao phim Avengers, thậm chí nghiên cứu một số đồ chơi tình dục trong nhật ký mua sắm của một người nổi tiếng. Nhân viên khác nhớ đồng nghiệp tìm kiếm các mối quan hệ cũ và bạn gái hoặc bạn trai. “Mọi người, mọi người đều làm điều đó,” một cựu quản lý dịch vụ khách hàng nói. Dĩ nhiên, họ không được phép làm như vậy. Amazon đã nhiều lần làm điều này rõ ràng. Trong một tuyên bố, Bemisderfer của Amazon viết: “Chúng tôi mạnh mẽ phản đối quan điểm rằng lạm dụng những đặc quyền này là 'phổ biến.'” Nhưng các công cụ đều ở đó; các đại diện có thể bắt đầu một “phiên nghiên cứu” để tìm kiếm thông tin của một khách hàng không gọi điện thoại, sau đó chỉ cần gõ một tên.
Ngay từ năm 2015, các nhà quản lý biết rằng đặc quyền truy cập rộng lớn của nhân viên là một vấn đề ở Amazon. Nhưng sự tò mò ngắn gọn chỉ là ít lo lắng nhất của họ. Năm đó, một cuộc kiểm toán nội bộ, đầu tiên được Politico EU báo cáo, phát hiện hàng chục ngàn nhân viên có khả năng 'spoof' một tài khoản người bán - với nhiều người sở hữu quyền truy cập vào các khóa bí mật cho phép họ hoàn trả và xem lịch sử đặt hàng của khách hàng như họ là nhà cung cấp. Và theo kết luận của các kiểm toán viên, 23.000 người trong số họ không nên được cấp quyền đầy đủ những quyền đó. Amazon cho biết với Politico rằng, giống như bất kỳ công ty nào khác, nó kiểm toán các chính sách của mình để tuân thủ và cải thiện dựa trên những phát hiện này. Nhưng một cuộc kiểm toán vào năm 2010 đã đạt đến những kết luận tương tự, và vấn đề vẫn còn.
Hệ thống của Amazon, như một bản thảo sau này sẽ nói, “cho phép các đối tác nhanh chóng làm việc thay mặt cho khách hàng Amazon, nhưng đặt những khách hàng giống nhau đó vào rủi ro từ lạm dụng chủ ý và tiếp xúc không chủ ý của nhân viên và nhà thầu đã được giao đặc quyền cao.”
Nhưng theo một số cách, một trong những nguồn lỗ hổng phức tạp nhất của Amazon là bộ phận an ninh thông tin chính nó - và cách nó không được trang bị, không hiệu quả và lạc lõng, ngay cả khi các nhân viên an ninh chuyên nghiệp thực hiện những chiến công anh hùng trước những khả năng cao. Tháng 3 năm 2016, người đứng đầu bộ phận lâu năm, George Stathakopoulos, rời đi làm việc tại Apple, khiến đội ngũ bị đặt vào tình trạng đánh rơi trong vài tháng. Nhưng những đợt biến động của bộ phận sẽ đi sâu hơn và kéo dài lâu dài hơn nhiều so với điều đó.

Khoảng cuối năm 2016, một người tên là Gary Gagnon - một giám đốc an ninh mạng có nhiều năm kinh nghiệm, chủ yếu là làm việc cho chính phủ liên bang - bay đến Seattle để thảo luận về việc trở thành Phó Chủ tịch An ninh thông tin mới của Amazon. Cuộc phỏng vấn cuối cùng của ông vào ngày đó là với Wilke, giám đốc điều hành tiêu dùng, người gặp Gagnon trong một phòng họp nhỏ nằm ngoài văn phòng nhỏ của mình, mặc áo sơ mi cài khuy dài và quần jean. Bộ trang phục là một phần của một truyền thống, Gagnon nhớ Wilke giải thích rằng ông luôn mặc như một công nhân kho trong mùa mua sắm cao điểm, để nhắc nhở mọi người tại trụ sở về những người thực sự giữ cho Amazon hoạt động.
Gagnon không mấy hứng thú với công việc mới, ông nói, nhưng ông đã bị ấn tượng bởi Wilke, và cách ông ta thấy khiêm tốn đối với ai đó chỉ huy hoạt động bán lẻ trực tuyến lớn nhất trên thế giới. “Được rồi,” Gagnon nhớ nghĩ, “đây là người tôi có thể làm việc.”
Mọi thứ đi xuống từ đó. Tại cuộc họp toàn bộ vào đầu năm 2017, Wilke giới thiệu Gagnon làm người lãnh đạo mới của bộ phận an ninh, làm sốc một số nhân viên đã mong đợi người đứng đầu tạm thời, một người lâu năm, sẽ nhận công việc. Khi Gagnon phát biểu đầu tiên của mình với đội ngũ, việc sử dụng thường xuyên của ông tiền tố “cyber-” ngay lập tức làm kích động một số người trong bộ phận, nhìn nhận nó như là thói quen của một người làm việc cho chính phủ ở Đông Bắc. “Nó trở thành một trò đùa từ ngày đầu tiên,” một người quản lý cũ nói. Gagnon nói một nhân viên sau đó đã kéo ông ra một bên và khuyên ông nên tránh sử dụng thuật ngữ “an ninh mạng”.
Khi ông hòa mình vào vai trò mới, Gagnon nhanh chóng nhận ra rằng mọi thứ không ổn với 'an ninh thông tin' - như ông được khuyến khích gọi nó - tại Amazon. Kích thước của mạng lưới của công ty là đáng kinh ngạc, nhưng 'nó đã được kết hợp bằng băng keo và kẹo cao su,' một sợi bện của phần mềm cũ và mới, Gagnon nói. 'Nó lớn lên từ một chiếc garage và nó chỉ tiếp tục từ đó.' Các sản phẩm tiêu dùng mới được khóa chặt với sự bí mật tuyệt đối trước khi ra mắt, Gagnon nói. Nhưng ngoại trừ điều đó, có vẻ như mọi người trên mạng lưới đều có quyền truy cập vào gần như mọi thứ, bao gồm thông tin khách hàng - và tuy nhiên, trong thời gian ông ở đó, không có chương trình đe dọa nội bộ nào được dành riêng để ngăn chặn nhân viên tự do lạm dụng quyền truy cập của họ. Theo quan điểm của ông, đội ngũ dường như không có bất kỳ cách hệ thống nào để ưu tiên những rủi ro an ninh lớn nhất của mình. 'Điều đó làm tôi kinh ngạc,' Gagnon nói.
Ông thừa kế một đội ngũ gồm khoảng 300 người nhưng nghĩ rằng có lẽ nên là 1.000 người. Nhưng khi ông cố gắng củng cố đội ngũ của mình, Gagnon sớm nhận ra rằng sự tiết kiệm mà ông ngưỡng mộ ở Wilke sẽ tạo ra vấn đề cho mình: Khi yêu cầu thêm nguồn lực, ông nói, giám đốc điều hành tiêu dùng thường từ chối ông. (Wilke không thể liên lạc để bình luận.)
Bộ phận, theo quan điểm của Gagnon, về cơ bản là gánh nặng không cần thiết trong tính toán lợi nhuận và lỗ của Wilke. Đội an ninh thông tin tại Amazon Web Services thực sự tạo ra doanh thu từ các sản phẩm dành cho khách hàng doanh nghiệp của phòng ban đám mây. Nhưng ở phía tiêu dùng của kinh doanh của Wilke, Gagnon nói, InfoSec được xem là một chi phí quản lý thêm, một chi phí cắt vào các dự án khác làm cho Amazon trở nên nhanh chóng hơn, có lợi nhuận hơn và thú vị hơn. 'Triết lý tại Amazon là về trải nghiệm khách hàng. Họ muốn làm hài lòng khách hàng,' Gagnon nói. 'Và điều đó làm theo chiều hướng của mọi thứ khác.'
Amazon nói rằng 'sẽ không bao giờ hy sinh an ninh vì chi phí.' Nhưng theo quan điểm của Gagnon, đầu tư vào an ninh thông tin là khan hiếm: 'Ngân sách không phù hợp với nhu cầu.' Một số cựu nhân viên an ninh đồng tình với ông về cảm giác thiếu thốn này trong bộ phận. 'Tôi sẽ nói với nhân viên mới, 'Hãy giả định ngân sách của bạn là không có và hãy bắt đầu từ đó. Chỉ cần tiết kiệm càng nhiều càng tốt,'' nói Ellie Havens, một cựu quản lý hoạt động kinh doanh trên đội ngũ an ninh.
Trong một bản ghi sáng tạo tháng 8 năm 2017 gửi đến Wilke, Gagnon nêu ra một loạt các rủi ro phát sinh từ sự tăng trưởng nhanh chóng của Amazon và nguồn lực mảnh dẻ của đội an ninh của ông. Các thiết bị mới kết nối với hệ thống của Amazon liên tục được phát hiện mà không có hệ thống tập trung nào theo dõi chúng tất cả; các trung tâm đáp ứng mới đang nổi lên như nấm mọc, với 'an ninh máy tính kho bãi đang chậm bước'; và quá trình xử lý thanh toán đang được mở rộng đến nhiều quốc gia mới mỗi năm, với đội an ninh gặp khó khăn để theo kịp.
Giữa tất cả sự mở rộng đó, Gagnon viết, những điều đáng kinh ngạc đang trôi qua những kẽ hở. Chính tháng 5 đó, nhân viên phát hiện rằng, trong một khoảng hai năm, tên và số thẻ American Express của đến 24 triệu khách hàng đã đứng trần trụi trên mạng lưới nội bộ của Amazon, nằm ngoài 'khu vực an toàn' cho dữ liệu thanh toán. Đó như là ngân hàng nhận ra rằng một số túi tiền đã được để lại trong một phòng làm việc phía sau, ngoài hòn cốc, trong vài mùa. Tình trạng tiếp xúc đã được sửa, nhưng phần đáng sợ nhất là không có cách nào để đảm bảo liệu có ai đó đã ngó vào thông tin thanh toán trong suốt thời gian đó hay không - vì nhật ký truy cập của tập dữ liệu chỉ điều về 90 ngày. 'Vì vậy, chúng tôi không biết tình trạng tiếp xúc thực sự là gì,' Gagnon nhớ lại. 'Tôi đã kinh ngạc với điều đó.' (Bemisderfer nói, 'Không có bằng chứng cho thấy dữ liệu từng bị tiếp xúc bên ngoài hệ thống nội bộ của chúng tôi bằng bất kỳ cách nào.')
Một vấn đề cơ bản hơn đối mặt với Amazon, theo quan điểm của Gagnon trong bản ghi của ông, là: 'Chúng tôi thiếu tầm nhìn vào dữ liệu mà chúng tôi được giao bảo vệ,' ông viết. 'Chúng tôi không biết hệ thốngatically về luồng dữ liệu và vị trí lưu trữ của dữ liệu nhạy cảm.'
Về mặt an ninh, ngụ ý rõ ràng là: Nếu đội ngũ không biết nơi mọi dữ liệu đều nằm ở đâu, làm thế nào họ có thể đảm bảo nó không bị rò rỉ, đánh cắp hoặc được điều chỉnh một cách không đúng đắn? Nhưng Gagnon cũng nhìn thấy một nguy cơ khổng lồ khác phía trước. Tháng 4 năm 2016, Quốc hội Châu Âu đã thông qua Nghị quyết Bảo vệ Dữ liệu Tổng quát, một luật quyền riêng tư người tiêu dùng toàn diện sẽ có hiệu lực vào năm 2018. Sau đó, các công ty hoạt động tại Châu Âu sẽ được phép sử dụng dữ liệu của người dùng dưới một bộ điều kiện nghiêm ngặt, và đôi khi chỉ với sự đồng thuận của họ. Các công ty cũng sẽ phải đảm bảo khả năng cho phép khách hàng xóa dữ liệu của họ. 'Tôi không biết chúng ta sẽ làm thế nào với điều đó,' Gagnon nhớ lại nghĩ, 'bởi vì chúng tôi không biết dữ liệu của mình ở đâu.'
Tuy nhiên, lo ngại về quyền riêng tư loại này dường như không đứng đầu trong danh sách ưu tiên của công ty. Khi Gagnon đến gặp David Treadwell, phó chủ tịch đứng đầu cơ sở hạ tầng kỹ thuật bán lẻ của Amazon, để hỏi cách công ty sẽ xử lý việc tuân thủ GDPR, theo Gagnon, câu trả lời của Treadwell là: “GDPR là gì?” Gagnon nói rằng sau đó anh được bảo đừng lo lắng, công ty đã thuê luật sư để chuẩn bị cho luật. “Khi tôi đề cập đến điều này, một trong những luật sư từ phòng pháp lý đã đến văn phòng tôi và bảo tôi hoàn toàn lui lại,” anh nói.
Không phải là các nhà quản lý như Wilke không quan tâm đến việc giữ an toàn dữ liệu khách hàng, Gagnon nói. “Họ đã làm những gì họ nghĩ là đủ,” anh nói. “Họ đang kiếm rất nhiều tiền. Cổ phiếu của họ đang tăng ... Họ không có bất kỳ dấu hiệu nào cho thấy rằng bất kỳ vấn đề về mạng máy tính nào sẽ ảnh hưởng đến kinh doanh của họ.” Hoặc ít nhất là, chưa có.
Tháng 6 năm 2017, tại cuộc họp thị trấn đầy phấn khích do các nhà quản lý từ hai tập đoàn lớn của Mỹ dẫn dắt, CEO của Whole Foods, John Mackey, thông báo rằng sau một “cuộc hẹn mù” Amazon đã quyết định mua lại chuỗi cửa hàng thực phẩm cao cấp này với giá 13,7 tỷ đô la. Ông mô tả cách trong chỉ vài tuần, hai công ty đã chuyển từ cuộc “hẹn hò mù” đầu tiên của họ đến việc “chính thức đính hôn.” Nhìn lại cuộc gặp gỡ đầu tiên của các nhà quản lý, Mackey nói đùa rằng “đó thực sự là tình yêu sét đánh từ cái nhìn đầu tiên.”
Đội an ninh tại Amazon, sau nhiều lần cảnh báo về những rủi ro do liên tục mua lại các công ty con và tích hợp chúng vào mạng lưới của công ty, đã không được hứng thú. Chưa đầy một tuần sau khi đám cưới nhanh chóng được hoàn tất, một nhân viên tại công ty xử lý thẻ tín dụng First Data đã gọi điện cho một nhân viên Amazon với một gợi ý đen tối. Một nhà môi giới người Ukraina vừa đưa một số dữ liệu thẻ tín dụng để bán trên web tối mật có thể là dấu hiệu của một vi phạm tại Whole Foods.
Bộ phận an ninh của Amazon đã nhanh chóng tiếp cận, cảnh báo Whole Foods và khởi tạo cuộc điều tra. Trong vài tuần tiếp theo, nhóm này xác định rằng một nhóm tội phạm mạng người Ukraina nổi tiếng đã tồn tại trong một số phần của mạng lưới doanh nghiệp Whole Foods từ tháng 1. Những kẻ tấn công này kiểm soát 20 tài khoản của nhân viên với cấp độ truy cập mạnh mẽ. Họ đã đào sâu đến nỗi nhóm làm việc tại Whole Foods phải chuyển sang một hệ thống email hoàn toàn khác để truyền thông mà không sợ hacker nghía lén, theo một bản ghi nội bộ.
Khi bộ phận an ninh loại bỏ những kẻ tấn công, Amazon thông báo cho khách hàng rằng hacker đã chiếm đoạt chi tiết thẻ tín dụng cho các giao dịch tại một số nhà hàng và quán bar trong các cửa hàng của chuỗi siêu thị. Những hacker chưa vượt khỏi Whole Foods để xâm nhập vào mạng lưới lớn hơn của Amazon, nhưng vẫn không phải là một tình huống tốt. Sự vi phạm này đã trở thành điểm nổi bật trên các tờ báo.
Với sự trung thành và niềm tin của khách hàng đang đứng trước nguy cơ, sự vi phạm có thể đã là cơ hội cho Gagnon đưa ra lập luận để đầu tư nhiều hơn vào an ninh. Nhưng anh sẽ không ở lại lâu nữa. Tháng 10 năm 2017, chỉ một tháng sau khi việc vi phạm tại Whole Foods xảy ra, Gagnon và một đám nhân viên khác bay đến London tham dự ZonCon, hội nghị an ninh thông tin của Amazon chỉ dành cho những người được mời, một sự kiện để xây dựng đội ngũ và tuyển dụng. Gagnon không hoàn thành hội nghị.
Số phận của anh đã được định rõ một đêm tại bữa tối riêng tư dành cho các diễn giả của sự kiện. Điều chính xác đã xảy ra ở đó đang bị tranh cãi, nhưng Gagnon không bao giờ trở lại làm việc cho Amazon. Ngày hôm sau, anh nói, anh bị kéo vào cuộc gọi video với Treadwell ở Seattle, người nói với anh rời khỏi hội nghị và bay về nhà. Khi trở lại Mỹ, Gagnon nói rằng anh được thông báo rằng những gì đã xảy ra ở London là “không thể chấp nhận” mà không nhận thêm bất kỳ chi tiết nào. Anh bị sa thải vào tuần sau, công ty xác nhận.
Bất kể điều gì thực sự đã xảy ra, kết quả cho phân khúc này là thêm nhiều sự không ổn định. “Chúng tôi quay lại với Chúa tể của những chú sâu bọ,” nói một quản lý an ninh trước đây của Amazon. “Đó chỉ là một tình hình lộn xộn.” Đội ngũ lại không có lãnh đạo sau chưa đầy một năm. Với sự hỗn loạn ở bảo đảm, những nhân viên cấp cao và quản lý khác cũng sẽ rời đi, để lại nhóm không ổn định và thiếu ký ức tổ chức. Các dự án bị trì hoãn, và an ninh sẽ mất đi người bảo vệ hàng đầu của mình trong các cuộc họp cấp cao, những người đã từng là nhân viên cũ nói.
Cuối cùng, Amazon đã đưa một người lãnh đạo khác vào vai trò an ninh thông tin hàng đầu—một người ít nhất đã chứng minh được mình bên trong công ty. Người lãnh đạo mới của phân khúc là Jeff Carter, người đã tổ chức quá trình di chuyển dữ liệu khổng lồ từ Oracle sang Amazon Web Services của Amazon. Nhưng có một vấn đề: Carter không có kinh nghiệm về an ninh dữ liệu. Như chính ông sau này đã nói đùa trong một bài thuyết trình, có thể xem trên YouTube, phản ứng của ông khi nhận đề nghị công việc là nói: “Uh, có vẻ như đây không phải là một công việc cho người an ninh mới tham gia.”
Không phải. Xung quanh thời điểm Carter đến, một nhóm quản lý bên trong phân khúc an ninh thông tin đã tụ tập để đánh giá mức độ lo ngại của họ về những nguy hiểm lớn nhất mà Amazon đang phải đối mặt. Mỗi mối đe dọa được gán ba điểm: Một cho cách nó có thể ảnh hưởng đến công ty, một cho khả năng nó xảy ra, và một cho quyền lực mà Amazon có để kiểm soát nó. Sau đó, ba con số đó được nhân với nhau để có tổng điểm rủi ro.
Ở đầu danh sách mối nguy của đội an ninh là nguy cơ rằng các vi phạm sẽ “không được chú ý” do “hạn chế trong việc phát hiện, mệt mỏi vì cảnh báo, và công sức thủ công.” Tác động của một kịch bản như vậy, các quản lý xác định, có thể là “quyết định” (5 trên 5), khả năng xảy ra là “rất có thể” (5 trên 5), và đội ngũ không có “bất kỳ kiểm soát nào” chống lại sự tiếp xúc của công ty với nó (5 trên 5). Tổng điểm rủi ro: 125 trên 125.
Tiếp theo, các quản lý đánh giá mối nguy là “thiếu tầm nhìn vào các hệ thống và mạng” sẽ tạo ra “khả năng không thể phát hiện sự cố an ninh.” Điểm rủi ro: 125 trên 125. Sau đó là “khả năng” của Amazon để bảo vệ thông tin đăng nhập và khóa bí mật có thể mở khóa dữ liệu nhạy cảm: 125 trên 125. Tiếp theo là “khả năng” của Amazon để xác định vị trí của dữ liệu. Lại là 125 trên 125.
Amazon nói rằng những rủi ro này đã bị “phóng đại.” Nhưng xung quanh thời điểm đó, một thông điệp có vẻ đe doạ khác phát ra từ một đơn vị trong phân khúc an ninh gọi là Trung tâm Hoạt động An ninh, chịu trách nhiệm phát hiện và đáp ứng các cuộc tấn công. Một bản ghi từ nhóm cảnh báo rằng, vì nhóm phụ thuộc vào con người để báo cáo vấn đề khi họ gặp phải chúng thay vì có một hệ thống tự động hiệu quả để tìm kiếm chủng cứ về một việc xâm phạm, một kẻ tấn công có thể ngụy trang trong mạng của Amazon trong nhiều năm mà không bị phát hiện.
Amazon cho biết bản ghi này đã bỏ qua “nhiều biện pháp kiểm soát đền bù và biện pháp dự phòng” mà công ty đã thực hiện để ngăn chặn kẻ xâm nhập. Tuy nhiên, sự cấp bách của tài liệu là rõ ràng: “Chúng ta không thể mở rộng với con người, đơn giản không đủ nên chúng ta phải mở rộng với tự động hóa.” Nhưng tự động hóa, bản ghi tiếp tục, là “hiện đang không được đầu tư đúng mức.”
Khi Carter định cư vào công việc mới của mình, nói ngắn gọn, những chuông báo đang vang lên trong phân khúc an ninh thông tin đã được đẩy lên càng cao càng tốt. Ở nơi khác trong công ty, trong khi đó, một nhóm nhân viên khác đang nổi trội với những lo ngại riêng về cách Amazon xử lý dữ liệu của khách hàng.
Gary Gagnon không phải là người duy nhất khi nghẹt mũi khi nghĩ về việc chuẩn bị công ty tuân thủ GDPR của châu Âu. Trong thời điểm mà thế giới ngày càng quan ngại về việc các công ty công nghệ sử dụng dữ liệu cá nhân—không chỉ là về việc bảo vệ nó khỏi tội phạm mạng, mà còn là cách họ chuyển nó đi và khai thác nó để có lợi nhuận—Amazon chỉ có một số ít nhân viên chính thức được giao trách nhiệm đảm bảo quyền riêng tư của khách hàng trên toàn tổ chức. Hầu hết họ tập trung trong phòng pháp lý của công ty dưới sự chỉ đạo của Bill Way, cố vấn pháp lý chung liên quan. Và suốt năm 2017, họ vật lộn để ủng hộ quyền riêng tư trong một công ty không thích phải chậm lại, nơi các nhà quản lý thường dường như không đánh giá cao những nỗ lực của họ.
Tháng 5 năm 2017, một kỹ sư cấp cao trong nhóm nhỏ này gửi email cho Way vẽ sơ đồ tình hình chung: Giải quyết vấn đề quyền riêng tư xung quanh công ty đã trở thành “một trò chơi đánh bại gay gắt,” ông viết.
“Tôi đã có một số cuộc trò chuyện với những nhân viên nội bộ không hài lòng với tính minh bạch và thực hành riêng tư của các công cụ mà họ đang phát triển, nhưng những nỗ lực để sửa chữa điều này đã bị lãnh đạo từ chối,” kỹ sư viết. “Tất nhiên, những người này phải xem xét sự nghiệp của họ trước khi chiến đấu quá mạnh mẽ đối với chuỗi báo cáo của họ về những vấn đề đó, và nó chỉ ra sự cần thiết của một đội ngũ riêng để xử lý những bước tăng cường và những cuộc chiến.”
Người kỹ sư viết rằng các ông lớn công nghệ khác có hệ thống chín chắn hơn để xử lý các vấn đề riêng tư phức tạp, và Amazon đang tụt lại. (Ví dụ, Google có hàng trăm nhân viên làm việc về quyền riêng tư.) “Mà không có một đội ngũ phát triển riêng về quyền riêng tư để chịu trách nhiệm cho công việc đó,” ông kết luận, “tôi không chắc chúng ta đang có vị trí tốt để đuổi kịp.”
Vào mùa thu năm 2017, một nhân viên khác—một chuyên gia tuân thủ Amazon—viết một bản ghi chú đến Way và những người khác cảnh báo rằng công ty có thể phải đối mặt với mức phạt tỷ đô về các vấn đề riêng tư nếu nó không cải thiện. Bản ghi chú lập luận rằng Amazon nên mục tiêu có hơn 30 nhân viên chuyên trách về quyền riêng tư thay vì chỉ là một số ít, và nói rằng công ty cung cấp ít đến không có nguồn lực nào để đào tạo về quyền riêng tư, phát triển sản phẩm về quyền riêng tư, hoặc ánh xạ dữ liệu. (Nhân viên này sau đó tố cáo rằng anh ta đã bị đẩy ra khỏi công ty một phần vì đưa ra những vấn đề này, theo hồ sơ được MYTOUR và Reveal kiểm tra. Politico EU cũng đưa tin về những cáo buộc rằng công ty đã trừng phạt nhân viên khi đưa ra lo ngại về an ninh. “Nhân viên không phải chịu sự trả thù,” Amazon nói. “Không có nhân viên nào rời khỏi công ty vì họ đã đưa ra lo ngại về tuân thủ quy định an ninh dữ liệu.”)
Vào cuối năm đó, khi các thành viên của đội ngũ pháp lý của Amazon cố gắng giúp công ty nâng cao mức độ bảo vệ quyền riêng tư, những nỗ lực của họ cũng bị từ chối. Tháng 12 đó, một luật sư của công ty thăm dò ý kiến của một nhóm đồng nghiệp xem liệu Amazon có nên tham gia Hiệp hội Quyền riêng tư Quốc tế hay không. Google, Facebook, Microsoft, Twitter, Oracle và Salesforce đã trở thành thành viên doanh nghiệp hàng đầu, mang lại hàng trăm nhân viên của họ quyền truy cập vào các nguồn lực của nó. Một thành viên doanh nghiệp hàng đầu có giá 25,000 đô la.
“Đó là một cách tương đối rẻ để công ty giữ cho những chuyên gia về quyền riêng tư của chúng ta kết nối vào mạng lưới đó và thể hiện rằng công ty đang quan tâm và cẩn thận về các vấn đề riêng tư nói chung, thay vì chỉ là nổi bật bởi sự vắng mặt của chúng ta,” một luật sư Amazon ở Nhật Bản viết trong chuỗi.
Nhưng Andrew DeVore—cố vấn pháp lý chung cuối cùng sẽ làm lời khai trước Quốc hội về “cam kết lâu dài của Amazon đối với quyền riêng tư và an ninh dữ liệu,” và người quan trọng nhất trong chuỗi—đẩy ý kiến này đi: “Tôi không nghĩ đây là một diễn đàn đặc biệt hữu ích cho chúng ta để đạt được bất kỳ mục tiêu riêng tư rộng lớn nào.”
Các luật sư khác đã cố gắng tranh luận lại, nhưng không thành công. “Đó là một tình huống rất không thoải mái khi tham gia sự kiện IAPP như một thành viên cá nhân,” một luật sư Amazon đóng trụ sở tại Đức viết, “trong khi rõ ràng là tôi đang làm việc cho một công ty mà được xem xét là không quan tâm đến các vấn đề riêng tư.”
Điều đó khiến DeVore tức giận.
“Bất kỳ ai—và đặc biệt là ai tự xưng có bất kỳ liên quan thực sự nào đến hoặc hiểu biết về các vấn đề riêng tư—nếu tin rằng Amazon ‘không quan tâm đến các vấn đề riêng tư’ là một kẻ ngốc lạc hoàn toàn,” ông trả lời. “Chúng ta không sẽ ở đây, và chúng ta sẽ không có sự đa dạng đáng kinh ngạc về các sản phẩm và dịch vụ bảo vệ quyền riêng tư mà chúng ta mang lại trên toàn thế giới, nếu chúng ta không tận tâm về quyền riêng tư trong mọi việc chúng ta làm. Chúng ta đã làm từ ngày đầu tiên, và đến bây giờ [vẫn] là ngày đầu tiên. Vì vậy, tôi hy vọng, và kỳ vọng đầy đủ, rằng tất cả các bạn sẽ đẩy mạnh mạnh mẽ chống lại những điều loại rác như vậy.”
Amazon không tham gia tổ chức riêng tư. Amazon Web Services, cánh của máy tính đám mây, sau đó đã gia nhập. Một luật sư cũ của Amazon đã làm việc để chuẩn bị công ty cho GDPR lẽ ra rằng lập luận của DeVore cho rằng công ty thiết kế sản phẩm của mình với tâm trạng riêng tư là hoàn toàn không chính xác. Lúc đó, “Amazon không có các kiểm soát có ý nghĩa để giới hạn quyền truy cập và chia sẻ dữ liệu cá nhân của người dùng, bao gồm cả dữ liệu nhạy cảm, trong công ty,” luật sư nói. “Trong Amazon, dữ liệu cá nhân của người dùng chảy như một dòng sông.”
Khi thời hạn thực hiện GDPR đến gần vào tháng 5 năm 2018, vấn đề về quyền riêng tư dồn lên đầu trang của sự chú ý công bố—nhờ vào vụ bê bối Cambridge Analytica, bùng phát vào tháng 3 đó. Đột nhiên, các chương trình tin buổi sáng và các MC hài tối đang thảo luận về một câu chuyện phức tạp về một nhà phát triển bên thứ ba đã tự do xử dụng dữ liệu được lấy thông qua giao diện lập trình ứng dụng của Facebook. Chỉ trong vài ngày, giá trị thị trường của Facebook giảm hơn 35 tỷ đô la.
Bên trong Amazon, nhân viên riêng tư lo sợ công ty của họ có thể lao vào một vụ bê bối riêng tư như một tảng băng dưới nước. Sau tất cả, Amazon thậm chí còn không làm nhiều để tránh xa khỏi khối lớn nhưng lạnh lẽo đang hiện rõ trước mắt nó: chế độ riêng tư mới của châu Âu, đe dọa phạt hàng triệu đô la. Cuối cùng, với chỉ năm tuần trước thời hạn thực hiện vào ngày 25 tháng 5 năm 2018, “quyết định đã được đưa ra” để tạo ra một đội ngũ riêng tư để giúp chuẩn bị cho nhà bán lẻ trực tuyến lớn nhất thế giới cho luật mới, theo một thông báo an ninh thông tin tháng 7 năm 2018.
Amazon cho biết họ luôn có nhân viên riêng tư phân tán trên toàn công ty, rằng họ “bắt đầu kế hoạch cho GDPR nhiều năm trước” và chỉ đơn giản là quyết định tập trung nỗ lực của mình trước thời hạn. Nhưng vài tháng sau đó, trước Ủy ban Thương mại Thượng viện, DeVore vẫn tỏ ra khó chịu với việc luật pháp châu Âu đã làm mất tập trung Amazon từ ưu tiên tập trung vào khách hàng của mình. “Cam kết lâu dài của chúng tôi đối với quyền riêng tư đã làm cho chúng tôi nằm trong nguyên tắc của Nghị định Bảo vệ Dữ liệu Chung của Liên minh châu Âu,” DeVore nói. “Đáp ứng các yêu cầu cụ thể của nó về xử lý, lưu giữ và xóa dữ liệu cá nhân đòi hỏi chúng tôi phải dành nguồn lực đáng kể cho các công việc hành chính—và rời xa sáng tạo vì lợi ích của khách hàng.”
Xem xét lời khai của DeVore, Gary Gagnon khó chịu với tuyên bố rằng Amazon đã hoàn toàn phù hợp với GDPR và có quyền riêng tư ở trung tâm của nó. “Tất cả đều là lừa dối,” ông nói. “Toàn bộ là lừa dối.”

Trong mùa xuân và mùa hè năm 2018, Amazon trông giống như một lực lượng không thể ngăn chặn với một viên gạch trên đạp ga. Công ty có hơn 575,000 nhân viên toàn cầu. Jeff Bezos đã được công bố là người giàu nhất thế giới, và Amazon sắp trở thành công ty thứ hai trên thế giới, sau Apple, đạt giá trị 1 nghìn tỷ đô la. Như Bezos báo cáo trong lá thư hàng năm cho cổ đông của mình vào tháng 4 đó, hơn 100 triệu người trên khắp thế giới đã trở thành thành viên Prime, và họ đang phát điên vì các thiết bị thông minh như Echo Dots và Fire TV Sticks—những sản phẩm biến cuộc sống hàng ngày của họ thành những điểm dữ liệu Amazon ngày càng nhiều hơn.
Chính vào thời điểm chiến thắng tương đối này, một đập vỡ dường như đã xảy ra. Một cách vội vã, những yếu điểm mà bộ phận an ninh của Amazon đã nhấn mạnh bắt đầu biểu hiện trong một loạt các phát hiện đau lòng.
Một ngày cuối tháng 5, đội ngũ tình báo rủi ro của Amazon tình cờ phát hiện ra một dịch vụ có vẻ đáng ngờ đang được cung cấp cho người bán bên thứ ba của Amazon—một kế hoạch kinh doanh thu hoạch dữ liệu của Amazon một cách, ở một số mặt độc đáo, gợi nhớ đến thảm họa Cambridge Analytica của Facebook. Gọi là AMZReview, dịch vụ quảng cáo chính nó như một cách để giúp người bán tăng thứ hạng trên nền tảng Amazon, và nó tuyên bố sở hữu thông tin chi tiết về hàng triệu khách hàng Amazon. Khi đội ngũ điều tra, họ phát hiện ra một sự thật đau lòng về cách mọi người tại AMZReview đã có được tất cả dữ liệu khách hàng đó: Amazon đã để họ có được nó, theo bản thảo của một bản ghi chú mô tả các phát hiện của đội ngũ.
Nền tảng bán lẻ của Amazon đã lâu cung cấp cho người bán một chương trình thuận tiện cho phép họ trích xuất dữ liệu về khách hàng của họ. Tất cả những gì họ cần là một chìa khóa đặc biệt để kết nối vào giao diện của Amazon, và họ có thể mở khóa quyền truy cập vào thông tin khách hàng, bao gồm tên, địa chỉ gửi thư, số điện thoại, sản phẩm họ đã đặt hàng và các ngày họ đã đặt hàng chúng. Ý tưởng là người bán có thể sử dụng tất cả dữ liệu đó để quản lý doanh nghiệp của họ, có thể bằng cách thuê những nhà phát triển phần mềm riêng để xây dựng công cụ phân tích.
Vấn đề là các công ty bên thứ ba, đang đói data để tiếp thị, đã nhận ra rằng họ có thể thu thập các chìa khóa từ nhiều người bán khác nhau và tích lũy các hồ bơi lớn thông tin khách hàng mà không cần sự hiểu biết của khách hàng. Cửa này đã mở rộng trong nhiều năm, khi các công ty dễ dàng tiếp cận dữ liệu khách hàng của Amazon, cho đến khi đội ngũ tình báo phát hiện AMZReview.
Trao đổi cho việc truy cập vào tất cả dữ liệu khách hàng mà Amazon cung cấp, AMZReview đề xuất giúp người bán đạt được một phần thông tin quan trọng mà Amazon nghiêm cấm: địa chỉ email cá nhân được đính kèm với khách hàng và đánh giá của họ. Đánh giá xấu có thể làm đắm một doanh nghiệp trên Amazon, nhưng với địa chỉ email đúng, người bán có thể thuyết phục khách hàng không hài lòng để họ rút lại đánh giá của mình hoặc kích thích mọi người để lại những đánh giá tích cực với những ưu đãi đặc biệt.
AMZReview làm thế nào biết đến những địa chỉ email đó? Dịch vụ, Amazon xác định, là một phần của một công ty phân tích Trung Quốc có tên TouchData, và có vẻ đã có được các địa chỉ email của khách hàng từ “các nguồn dữ liệu mở và bị vi phạm khác” trên internet. Từ đó, nó có cách để phù hợp địa chỉ với đánh giá Amazon, với tỷ lệ thành công khiêm tốn. Tổng cộng, AMZReview có được chìa khóa truy cập từ 92 người bán khác nhau, cho phép nó trích xuất tất cả thông tin khách hàng của họ từ hệ thống của Amazon. Nó tuyên bố có thông tin về 16 triệu khách hàng Amazon. (Đội ngũ tình báo nói rằng họ chỉ có thể xác nhận AMZReview có khả năng thu thập thông tin của 4.8 triệu người. TouchData phủ nhận rằng nó từng liên quan đến AMZReview, dịch vụ hiện không hoạt động nữa.)
Khi đội tình báo về rủi ro đầu tiên báo cáo phát hiện này lên cấp cao, “màu da đang mất từ khuôn mặt mọi người”, nói một người tham gia các cuộc họp. “Đó là một cơn bão tồi tệ.”
Vấn đề lớn hơn nhiều so với chỉ là AMZReview, chỉ là một trong những người chơi trong số nhiều người có thể thu thập dữ liệu từ thông tin mà Amazon cung cấp cho người bán. Người bán truy cập vào hàng tỷ đơn hàng của khách hàng thông qua giao diện của Amazon mà không có sự giám sát đáng kể. Công ty phát triển bên thứ ba lớn nhất có quyền truy cập vào một tỷ đơn hàng. Chắc chắn, có các quy tắc về cách người bán và nhà phát triển nên sử dụng hệ thống. Nhưng có vẻ như, theo memo, hơn một nửa số nhà phát triển bên thứ ba mà công ty đã nghiên cứu đang vi phạm các điều khoản dịch vụ của Amazon. Một cựu nhân viên hiểu biết về chi tiết cho biết hầu hết có lẽ là doanh nghiệp hợp lệ. Nhưng vẫn có, cựu nhân viên thêm vào, “đó là một lỗ hổng lớn. Đó thực sự là không kiểm soát được.”
Memo nói rằng Amazon đã “chia sẻ quá mức” chi tiết của khách hàng, đưa ra nhiều loại điểm dữ liệu khác nhau, thường là mà không quan tâm đến những gì người bán thực sự cần. Và Amazon “không có cách nào để biết”, theo memo, liệu dữ liệu có được truy cập bởi các người bán thực sự hay bởi các công ty bên thứ ba đang thực hiện những gì với nó. Các công ty có thể bán dữ liệu trực tiếp hoặc sử dụng nó để tạo ra tiếp thị có mục tiêu dành cho khách hàng của Amazon. “Chúng tôi tin rằng việc sử dụng như vậy có thể vi phạm lòng tin của khách hàng nếu khách hàng hiểu biết về điều đang diễn ra,” nói memo.
Các nhà lãnh đạo của Amazon muốn giải quyết vấn đề, và nhanh chóng. Memo đề xuất một kế hoạch: Amazon sẽ giới hạn dữ liệu được chia sẻ với người bán. Công ty sẽ thường xuyên kiểm tra các công ty đang trích xuất dữ liệu để bắt gặp bất kỳ hành vi kỷ luật nào. Còn đối với lượng lớn dữ liệu đã rò rỉ ra ngoài, họ quyết định chỉ cần yêu cầu các công ty lớn nhất vui lòng loại bỏ dữ liệu lịch sử của họ về khách hàng của Amazon. Amazon nói rằng họ đã sử dụng kiểm tra bên ngoại để đảm bảo rằng dữ liệu đã được xóa.
“Mối quan ngại lớn nhất chỉ là về quang phổ,” nói một cựu nhân viên Amazon có thông tin về tình hình. “Nếu nó đã trở nên rõ ràng rằng điều đó đang xảy ra? Tất cả những điều đáng xấu hổ mà bạn đã đặt hàng trên Amazon, có một công ty Trung Quốc có thể xác định ngày bạn đã mua nó? Rõ ràng họ sẽ không muốn ai biết điều đó.”
Một số người liên quan không thể không nghĩ đến vụ bê bối Cambridge Analytica đang nấu nướng. Nhưng trong khi Facebook bị công bố rộng rãi, Amazon đã xử lý vấn đề AMZReview một cách tĩnh lặng. Một số nhà bảo vệ quyền riêng tư cho rằng công ty nên đã công khai. “Họ nên đã nói, ‘Đây là điều đang diễn ra, đây là những gì chúng tôi đã làm để sửa nó, và đây là những gì chúng tôi biết về người đã có được thông tin của bạn,’” nói Bennett Cyphers, một kỹ thuật viên tại Tổ chức Frontier Điện tử.
Amazon nói rằng không có gì đáng chú ý ở đây. “Không có rò rỉ dữ liệu,” nói người phát ngôn của công ty Jen Bemisderfer. “Chúng tôi có các chính sách và điều khoản hợp đồng nghiêm ngặt ngăn chặn việc sử dụng sai lệch dữ liệu của khách hàng bởi người bán và nhà cung cấp dịch vụ, và chúng tôi liên tục giám sát và kiểm tra hệ thống của mình để phát hiện ra việc sử dụng sai lệch và thi hành chính sách của chúng tôi.” Khi Amazon phát hiện ra các công ty lạm dụng quyền truy cập, họ cắt đứt chúng, bà nói. Amazon cũng đầu tư vào một hãng kiểm toán bên ngoại để đảm bảo các công ty tuân thủ. Còn về số lượng khách hàng nào đã có thông tin của họ bị lấy đi bởi các công ty lạm dụng hệ thống, Amazon “không có phản ứng.”
Dù là tệ đến mức nào, AMZReview không phải là vấn đề duy nhất mà công ty phát hiện ra vào tháng 5 đó. Gần như chính thời điểm đó, bộ phận an ninh của Amazon biết được rằng một số tài khoản Amazon thuộc nhân viên ở Trung Quốc đã được sử dụng để vượt qua các kiểm soát trong nền tảng dịch vụ khách hàng của công ty. Theo một bản memo nội bộ, những tài khoản đó sau đó đã thay đổi địa chỉ email đính kèm vào khoảng 36,000 hồ sơ khách hàng, một động thái có thể đã cho phép kẻ tấn công chiếm đóng các tài khoản khách hàng và sử dụng chúng để gian lận. Tám nhân viên, bao gồm một kỹ sư IT, có thể đã tham gia và có vẻ như liên quan đến các công ty Trung Quốc cung cấp dịch vụ cho người bán Amazon. Theo bản memo, một số nhân viên đã bị sa thải và một nhóm công nghệ đã sửa chữa lỗ hổng đã được sử dụng để thay đổi địa chỉ email chỉ trong vài ngày sau khi phát hiện ra.
Bộ phận an ninh cũng biết được rằng có ai đó bên trong hệ thống Amazon đã đăng nhập vào 6,581 tài khoản khách hàng và xóa những đánh giá họ đã viết. Hai vụ việc này có vẻ liên quan. Có người đang chơi trò trong một trong những thị trường lớn nhất thế giới, và họ có sự giúp đỡ từ bên trong.
Khi Jeff Carter—người đứng đầu bảo mật mới mà không có kinh nghiệm về bảo mật—sẵn sàng nộp báo cáo quý đầu tiên của mình cho các giám đốc cấp cao vào tháng 7 năm 2018, ông bắt đầu bằng cách ghi lại tình trạng đang lộn xộn của bộ phận an ninh. “Thông qua các sự chuyển giao quản lý khác nhau, đã xảy ra sự phá vỡ niềm tin giữa các nhóm trong tổ chức InfoSec, ảnh hưởng đến công việc nhóm, tinh thần làm việc, năng suất và giữ chân nhân sự,” ông viết trong bản memo. Trong khi mọi thứ khác về Amazon dường như đang tăng mạnh, đội an ninh đã mất thêm nhiều người. Ở con số 345 nhân viên, giảm 100 so với dự toán người.
Carter tiếp tục kêu gọi nhiều hồi chuông cảnh báo giống như những người tiền nhiệm của ông đã làm: Amazon vẫn chưa biết được dữ liệu của mình ở đâu. Công ty vẫn chưa có đủ khả năng để phát hiện ra mối đe dọa tự động. Và nó vẫn cung cấp quá nhiều quyền truy cập vào dữ liệu khách hàng nhạy cảm cho nhân viên của mình. Sự khác biệt là đối với Carter, mối nguy hiểm từ phía nhân viên của Amazon—“khả năng một nhân viên đen tốt có thể lạm dụng hệ thống nội bộ vì mục đích cá nhân của họ,” như ông mô tả—bây giờ đã trở thành một hiện thực sinh động. Và nó chỉ trở nên tồi tệ hơn trong khi năm 2018 trôi qua.
Khi Anna Lam còn là một cô bé lớn lên trên hòn đảo Thái Bình Dương Nauru, mẹ cô đôi khi sẽ thả một viên ngọc lục bảo màu lạnh vào một cốc trà thảo dược để làm dịu những nỗi sợ hãi thời thơ ấu của cô. Là một người lớn tuổi sống ở thành phố New York nhiều thập kỷ sau đó, Lam đã bắt đầu một công việc kinh doanh bán các sản phẩm làm đẹp, một số trong số đó được làm từ cùng một viên ngọc lục bảo nữa. Mặt hàng phổ biến nhất của cô trên Amazon là một thứ gọi là jade roller: một công cụ làm đẹp nhỏ giống như một chiếc cuộn sơn thu nhỏ hấp dẫn, được thiết kế để mát-xa khuôn mặt. Để quảng bá sản phẩm dưới thương hiệu của mình, GingerChi, Lam đăng lên một số hình ảnh gần gũi được sắp xếp của cô con gái sử dụng một trong những cuộn.
Cuộn ngọc lục bảo có nguồn gốc Trung Hoa cổ, nhưng vào giữa thập kỷ 2010, đúng lúc này, sự phổ biến của chúng trên Instagram đã làm cho chúng trở nên rất phổ biến. Đến mùa thu năm 2017, phòng khách của căn hộ của Lam đã đầy ắp hộp đựng cuộn của cô để gửi đến khách hàng. Đó là lúc cô đầu tiên nhận thức ra điều gì đó kỳ lạ trên Amazon: Khuôn mặt của con gái cô đã xuất hiện trên một danh sách cho sản phẩm cuộn ngọc lục bảo của người khác. Một người bán cạnh tranh có tên Krasr đã lấy ảnh của Lam để giúp bán sản phẩm giả mạo của họ. Lam báo cáo về vi phạm có vẻ đã xảy ra cho Amazon, và những bức ảnh đó đã bị gỡ xuống.
Hai tháng sau đó, Lam nhận được một đơn đặt hàng từ một khách hàng người Canada tên là Mohamed Multhazim Akbar Ali và nhận ra ông là chủ sở hữu của nhãn hiệu Krasr. Vì vậy, cô quyết định không thực hiện đơn đặt hàng nhưng không để ý nhiều hơn. Cô quá bận rộn với sự phổ biến bất ngờ của công ty của mình. Tháng 11 đó, nữ diễn viên Lea Michele đã quảng cáo cuộn ngọc lục bảo GingerChi của Lam trên Instagram. Sau đó, sản phẩm của Lam đã xuất hiện trong danh sách quà tặng mùa lễ năm 2017 của Time Out New York và Us Weekly. “Nó chỉ trở nên như hỏa cháy,” cô nói. Và sau đó, “mọi thứ đều trở nên hỗn loạn.”
Vào mùa xuân đó, những người bán hàng bí ẩn trên Amazon bắt đầu phát sinh khiếu nại vi phạm bản quyền đối với Lam, khiến Amazon tạm ngừng tài khoản của cô. Cô thử gửi email cho những người buộc tội nhưng không bao giờ nhận được phản hồi, vì vậy cô nghi ngờ rằng Krasr đứng sau các khiếu nại. Krasr cũng đã tung lại cuộn ngọc lục bảo của mình với một chiến dịch tiếp thị.
Khi Lam cuối cùng đã thành công trong việc khôi phục tài khoản của mình, sau vài tháng, danh sách sản phẩm Amazon của cô dường như đã quay lưng lại cô, như bị ma ám: Khách hàng sẽ đặt mua cuộn ngọc lục bảo GingerChi, nhưng đôi khi họ sẽ nhận được một cuộn của thương hiệu Krasr thay vào đó, và thanh toán bằng thẻ tín dụng sẽ đi đến đối thủ của Lam. Những cuộn của Krasr trông giống sản phẩm của Lam, thậm chí đến túi vải và tờ hướng dẫn, nhưng đôi khi chúng có thể bị lỗi. Vì vậy, Krasr có được bán hàng, khách hàng nhận được một đòn chơi thất vọng, và Lam nhận được những đánh giá tiêu cực. (“Mọi thứ về điều này đều đáng ngờ,” một người đánh giá GingerChi viết sau khi nhận được một cuộn của thương hiệu Krasr mà không cuộn được.)
Theo thời gian, những kẻ nắm đầu trên danh sách của cô đã tăng lên: Một dàn bán hàng khác nhau được cho là cung cấp cuộn ngọc lục bảo GingerChi của cô ngay từ trang của cô. Một trong số chúng mang tên chế nhạo là KingerChi. Lam cố gắng kêu gọi sự giúp đỡ của Amazon. Cô sẽ đặt hàng cuộn từ trang của mình, chụp ảnh chứng minh chúng không phải của cô và gửi khiếu nại đến Amazon. Sau một thời gian chờ đợi, một hoặc hai người bán hàng kinh doanh cuộn giả mạo biến mất, nhưng những người khác lại xuất hiện, đánh cắp đơn đặt hàng của cô. Lam thuê luật sư viết những lá thư van xin đến công ty. Đến lúc này, cô đang mất tiền, đã sa thải một nhân viên và lo lắng doanh nghiệp của mình sẽ phá sản. Một thời gian sau đó, cô không thể không nghĩ rằng Amazon đơn giản là không quan tâm.
Krasr, sau tất cả, đã là đề tài của một cuộc điều tra lâu dài trên CNBC vào mùa thu năm 2017. Câu chuyện nhận diện Ali bằng tên và mô tả cách Krasr trong hơn sáu tháng tấn công một doanh nghiệp chăm sóc da có trụ sở tại Los Angeles, dường như xâm nhập và phá hủy tài khoản Amazon của họ trong một loạt động tác đôi khi gần giống với những gì đang xảy ra với Lam. Câu chuyện trích dẫn tin nhắn văn của đại diện Krasr đến người bán, tự xưng là “vi-rút của Amazon” và đe dọa chiến tranh.
Phản ứng của Amazon đối với câu chuyện là trích dẫn kinh thánh doanh nghiệp, nói rằng công ty “liên tục đổi mới vì lợi ích của khách hàng và người bán” và rằng nó di chuyển nhanh chóng mỗi khi phát hiện ra những người chơi xấu lạm dụng hệ thống của mình. Và tuy nhiên gần một năm sau khi câu chuyện của CNBC xuất hiện, Krasr vẫn đang tấn công Lam mà không bị trừng phạt.
Người đứng sau Krasr, trong khi đó, dường như đang sống cuộc sống xa hoa. Ali—hoặc Zim, như anh ta tự gọi mình—lúc đó mới 20, đang theo học ngành khoa học máy tính tại Đại học Toronto. Tài khoản Instagram của anh ta cho thấy một chàng trai trẻ tự tin, thời trang, có gu thích du lịch thế giới, lặn biển trong một bài đăng và cưỡi lạc đà trong một bài đăng khác. Tại một thời điểm, anh ta tham dự một hội nghị nhằm giúp doanh nghiệp Canada tận dụng thị trường thương mại điện tử Trung Quốc, nơi anh ta chụp ảnh thủ tướng Canada Justin Trudeau đang diễn thuyết trên sân khấu. (Ali không phản hồi trả lời nhiều yêu cầu nhận xét.)
Khi anh ta nhắm vào GingerChi, Krasr vận hành một loạt các dòng sản phẩm khác nhau, bán từ thiết bị đuổi côn trùng siêu âm đến các sản phẩm hỗ trợ chống ngáy trên Amazon. Một số khách hàng của anh ta để lại đánh giá nói rằng họ được đề xuất tiền hoặc quà miễn phí để xóa đánh giá tiêu cực. Lam không hiểu làm sao Amazon để anh ta tấn công người bán trong thời gian dài như vậy. Chắc chắn Krasr phải nằm trong tầm ngắm của công ty.
Lam, tất nhiên, không biết radar của Amazon thực sự như thế nào. Nhưng cuối cùng Krasr đã thu hút sự chú ý của công ty. Tháng 11 năm 2018, Krasr nổi bật trong một trong những bản ghi nhớ của đội an ninh, bản dự thảo của bản sáng kế quý của Carter gửi đến Wilke và các giám đốc điều hành hàng đầu khác. Đội an ninh đã phát hiện ra bí mật đáng sợ của sự thành công của Krasr: Anh ta có mồi bên trong Amazon. “Người bán này tuyển mộ nhân viên của chúng tôi qua LinkedIn và Facebook,” bản ghi nhớ nói. Trong một chuỗi nhiều năm, những người bên trong này đã nhận khoảng 160.000 đô la tiền thưởng. Đáp lại, họ sử dụng đặc quyền truy cập của mình để cung cấp cho anh ta quyền lực thần thánh trên nền tảng và bất kỳ người bán nào anh ta muốn nhắm đến.
Những kẻ mồi của Krasr rò rỉ thông tin về khách hàng và đơn đặt hàng của họ, chia sẻ báo cáo kinh doanh nội bộ và cung cấp thông tin về các sản phẩm bán chạy nhất để Krasr có thể sao chép chúng (một động thái mà Amazon chính mình đã bị buộc tội làm để đánh bại người bán độc lập của mình). Theo hướng dẫn của Krasr, họ sẽ khôi phục lại các tài khoản đã bị đình chỉ vì hoạt động bất hợp pháp. Và đôi khi họ sẽ chặn người bán đang ổn định, chỉ để Krasr—theo kiểu một đợt tiền lời—có thể đưa ra đề nghị giúp đỡ.
Theo bản ghi nhớ của Carter, Amazon đã bắt được bảy nhân viên đang làm việc với Krasr, và họ đã tiết lộ bí mật của mình. Tất cả họ đều đã bị sa thải. Nhưng Krasr chính anh ta lại rất khó bắt. Amazon đã chuyển anh ta đến FBI, theo bản ghi nhớ. “Chúng tôi tin rằng Krasr đang đi giữa Toronto và Thái Lan và đã thuê một thám tử tư để xác nhận nơi anh ta đang ở,” bản ghi nhớ nói. (“Bất kỳ thị trường nào có một lượng hoạt động đáng kể đều sẽ có những người làm xấu cố gắng lợi dụng,” Bemisderfer nói.)
Krasr cuối cùng đã làm rung chuyển lãnh đạo an ninh của Amazon, nhưng anh ta không phải là một trường hợp cô lập. Đội ngũ cũng phát hiện một nhân viên tại Trung Quốc đã chia sẻ thông tin tư nhân với một nhà môi giới dữ liệu, sau đó bán nó trên dịch vụ nhắn tin Trung Quốc WeChat, theo bản ghi nhớ. Ngoài ra, họ đã tìm thấy một nhân viên tại Trung Quốc đã cung cấp hối lộ cho một nhân viên tại Ấn Độ để giúp đỡ những người bán cụ thể.
Để làm cho tình hình tồi tệ hơn cho Amazon, tin đồn về vấn đề tham nhũng của công ty đang bắt đầu lan truyền. Vào mùa thu năm 2018, The Wall Street Journal báo cáo rằng nhân viên ở đó đang bán dữ liệu để kiếm tiền và có một người đã bị sa thải vì rò rỉ email của khách hàng cho một người bán.
Đáp lại các bài viết của Journal, Amazon đã khởi xướng một dự án nội bộ, đặt tên mã là Cửa sổ kính, để phát triển cách khắc phục vấn đề. Nhưng các nhà lãnh đạo an ninh không đặc biệt lạc quan: “Những đối tượng đe doạ này có động cơ tài chính và sẽ tiếp tục cố gắng có được dữ liệu của chúng tôi,” theo bản ghi nhớ từ Carter đến các giám đốc của Amazon nói, “cho đến khi gánh nặng tài chính đối với kẻ tấn công lớn hơn so với lợi nhuận tài chính của họ.”
Tháng 1 năm 2020, sau hơn một năm và nửa đảm nhiệm vai trò, Carter rời khỏi công việc quản lý bộ phận an ninh thông tin của Amazon. Sự ra đi của anh ta đã đẩy bộ phận này vào một vài tháng nữa mà không có trưởng bộ phận.
Cuối cùng, Amazon đã thuê John “Four” Flynn để đảm nhiệm vai trò đó. Flynn đến từ Uber, nơi ông đã làm giám đốc an ninh thông tin trong một giai đoạn khi nhân viên ở đó đang sử dụng đặc quyền dữ liệu của họ để theo dõi các bước đi của người yêu cũ và các người nổi tiếng như Beyoncé. Những lạm dụng đó không được tiết lộ vì Uber thông báo mà do một người làm tố cáo đã kiện công ty - và cáo buộc trong vụ kiện đó, anh ta đã bị sa thải phần nào vì đã nêu lên ý kiến của mình với Flynn. (Uber nói rằng nó duy trì chính sách nghiêm ngặt để bảo vệ dữ liệu khách hàng và rằng nó đã sa thải dưới 10 nhân viên vì truy cập không đúng đắn. Vụ kiện đã kết thúc bằng một thỏa thuận.)
Flynn cũng làm việc tại Uber khi công ty giữ bí mật vụ hack lớn dữ liệu người dùng. Khoảng thời gian Flynn được thuê vào Amazon năm ngoái, cấp trên cũ của anh ấy tại Uber, giám đốc an ninh Joseph Sullivan, đã bị buộc tội đã trả tiền để giữ vụ rò rỉ dữ liệu bí mật khỏi sự công bố cho công chúng và cơ quan liên bang. Flynn, người không bị buộc tội về bất kỳ hành vi sai trái nào, đã chứng kiến trước Quốc hội rằng anh ta không liên quan đến việc thanh toán. “Tôi nghĩ rằng chúng tôi đã mắc một sai lầm khi không báo cáo cho người tiêu dùng,” ông nói với các nhà lập pháp. “Và tôi nghĩ rằng chúng tôi đã mắc sai lầm khi không báo cáo cho cơ quan chức năng.”
Tại Amazon, Flynn kế thừa một số vấn đề giống những gì đã làm phiền Carter. Các dịch vụ trực tuyến đen tối vẫn công khai quảng cáo khả năng cung cấp quyền truy cập nội bộ với một khoản phí. Nhiều hứa hẹn cung cấp ảnh chụp màn hình nội bộ của hệ thống Amazon, một quảng cáo chúng với giá 175 đô la hoặc email của khách hàng. Hình ảnh một chiếc laptop mở cổng thông tin hỗ trợ bán hàng nội bộ của Amazon, được Reveal và MYTOUR xem xét, cho thấy dữ liệu vị trí của địa điểm cụ thể ở Ấn Độ nơi hình ảnh được chụp vào năm ngoái.
Vào tháng 9 năm 2020, các công tố viên liên bang buộc tội sáu người trong một kế hoạch hối lộ nhân viên Amazon, nói rằng âm mưu đã tiếp tục từ ít nhất năm 2017 đến năm 2020. Phiên tòa được dự kiến sẽ diễn ra vào năm sau. Một số chuyên gia ngành công nghiệp nói rằng vấn đề về tham nhũng của nhân viên vẫn tồi tệ như trước. Nhưng Amazon nói rằng nó mạnh mẽ phản đối quan điểm rằng nó có vấn đề về hối lộ.
Amazon cũng cho biết với Reveal và MYTOUR rằng nó sẽ “tiếp tục thực hiện và loại bỏ tài khoản người bán có quan hệ với Mohamed Multhazim Akbar Ali nếu bất kỳ tài khoản nào như vậy xuất hiện trong tương lai.” Nhưng thực tế, Krasr đã trở lại hoạt động từ khá lâu. Ali đã có một công ty mới, ZB Ventures, mà Reveal và MYTOUR có thể kết nối với hơn 20 thương hiệu bán mọi thứ từ máy làm phẳng râu đến súng mát-xa trên Amazon (thậm chí có nhãn “Lựa chọn của Amazon”). Trang sản phẩm của các thương hiệu cũng chứa đầy đánh giá từ khách hàng nói rằng họ được hứa hẹn nâng cấp miễn phí để đổi lại đánh giá tích cực - một thực hành vi phạm chính sách của Amazon.
Chính Ali vẫn đang lạc lõng. “Tôi có hơn 8 doanh nghiệp trực tuyến khác nhau, chủ yếu là tự động hóa,” anh ấy nói trong hồ sơ của mình trên mạng xã hội Couchsurfing, “nên tôi thường rảnh rỗi để giúp đỡ, khám phá và tận hưởng cuộc sống.”
Bộ phận an ninh của Amazon mang gánh nặng nặng nề. Bemisderfer viết rằng các bản ghi và email được thảo luận trong bài viết này là “tài liệu cũ” không “phản ánh tư duy an ninh hiện tại của Amazon,” và một số nhân viên an ninh đã rời khỏi công ty thì có ý định nhất định. Họ nói rằng bộ phận đang đạt được một số tiến triển. Hệ thống của Amazon để tự động phát hiện mối đe doạ - một lĩnh vực mà công ty tuyên bố đã đầu tư - thực sự đang liên tục cải thiện. Công ty nói rằng nó đã đầu tư đáng kể vào các công cụ nhận diện “nơi dữ liệu cá nhân được lưu trữ và cách nó lưu thông” và các quy trình mà nhân viên “chỉ có quyền truy cập vào dữ liệu quan trọng để hoàn thành một nhiệm vụ cụ thể.” Nhưng nhìn chung, những người cựu nhân viên nói, bộ phận an ninh vẫn lạc lõng.
“Việc quay đầu con tàu đó sẽ mất mãi mãi,” nói một người quản lý an ninh cũ. Người quản lý cũ nói rằng Amazon làm tốt việc xây dựng những thứ mới nhanh chóng; điều mà công ty không làm tốt là giải quyết những vấn đề phức tạp mà cần nhiều đội và nhiều năm để giải quyết. Trong khi đó, quá trình mất máu tiếp tục, khi bộ phận tiếp tục mất đi các chuyên gia an ninh có kinh nghiệm qua tỷ lệ tự nhiên. Danh sách các điều hành nhận bản tổng hợp của Flynn cũng đã thay đổi: Jeff Wilke nghỉ hưu khỏi Amazon vào tháng 3 năm 2021.
Trong khi đó, diện tích tấn công rộng lớn của Amazon với dữ liệu khách hàng và nguồn lực tiềm năng của “những nhân tố đe doạ nội bộ” đều đã tăng với tốc độ gần như không thể hiểu được. Chỉ từ lời khai của DeVore vào năm 2018, công ty đã tăng gấp đôi số lượng thành viên Prime của mình, lên 200 triệu. Nó cũng đã gấp đôi số lượng nhân viên trên toàn thế giới, lên gần 1,5 triệu.
Công ty đã đạt được quy mô lớn khác nữa: vào tháng 8 năm 2021, đúng như cảnh báo của nhân viên quyền riêng tư của Amazon, các quan chức tại Luxembourg đã áp đặt phạt 883 triệu USD đối với công ty về việc vi phạm GDPR, một mức phạt lớn gấp đôi so với tất cả các mức phạt GDPR trước đó đối với các công ty khác nhau cộng lại. (Amazon nói rằng quyết định liên quan đến quảng cáo mà nó hiển thị cho khách hàng châu Âu. Công ty mạnh mẽ phản đối quyết định này và đang kháng cáo nó.)
Tuy nhiên, niềm tin công bố vào Amazon vẫn cao. Tháng 7 năm 2020, một năm trước khi ông cũng từ chức giám đốc điều hành, Jeff Bezos lần đầu tiên chứng kiến trước Quốc hội, để bảo vệ Amazon khỏi tình cảm chống đối ngày càng tăng ở Washington. (Trong một bài đăng trên mạng xã hội trước cuộc điều trần, Ali nhạo báng ý kiến rằng các nhà lập pháp sẽ bao giờ kiềm chế Bezos. “Anh ấy chắc chắn là nằm ngoài vụ pháp,” người đứng sau Krasr viết. “Không có gì có thể làm về điều đó.”) Trong bài phát biểu khai mạc của mình trước Quốc hội, Bezos gật đầu với một số nghiên cứu ngày nay cho rằng Amazon là một trong những tổ chức được tin tưởng nhất ở Mỹ. “Người Mỹ tin tưởng ai hơn Amazon để làm điều đúng đắn?” ông hỏi ủy ban. “Chỉ có bác sĩ và quân đội.” Nhưng như ông thêm vào tuyên bố của mình, “Sự tin tưởng của khách hàng khó có thể giành được và dễ mất.” Amazon xứng đáng với nó không?
Bản tin thêm của Dhruv Mehrotra và Lakshmi Varanasi.
Bài viết này xuất hiện trong số tháng 12/tháng 1. Đăng ký ngay.
Chia sẻ ý kiến của bạn về bài viết này. Gửi thư tới biên tập viên tại [email protected].
Những điều tuyệt vời khác từ MYTOUR
- 📩 Thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- 10,000 khuôn mặt đã khởi đầu một cuộc cách mạng NFT
- Một sự kiện tia cực vũ trụ chỉ định vị trí đổ bộ Viking tại Canada
- Làm thế nào để xóa tài khoản Facebook của bạn mãi mãi
- Thăm quan chiến thuật silic của Apple
- Muốn có một PC tốt hơn? Hãy thử tự xây dựng
- 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Xem xét lựa chọn của đội ngũ Gear chúng tôi về các thiết bị theo dõi sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất