La senatrice democratica e candidata alle presidenziali Usa 2020 Elizabeth Warren e il senatore democratico dell’Oregon Ron Wyden hanno chiesto alla Federal Trade Commission di avviare un’indagine su Amazon in merito all’attaco hacker subito nei confronti di Capital One, banca americana con sede in Virginia.
Il leak di Capital One
La violazione, divulgata a luglio, è avvenuta – secondo il Dipartimento di Giustizia – a causa di un firewall non configurato correttamente sul server cloud Amazon Web Services (AWS).
L’hacker avrebbe rubato dal server di Amazon circa 30 GB di dati contenenti circa 140.000 numeri di previdenza sociale e circa 80.000 numeri di conti bancari di 100 milioni di consumatori statunitensi e circa 1 milione di numeri di previdenza sociale di clienti canadesi.
Il presunto hacker, Paige Thompson, ha lavorato presso AWS dal 2015 al 2016 come ingegnere di sistemi. Thompson è stato accusato di frode e abuso di computer.
La lettera
Ora due legislatori democratici vogliono che la FTC determini se sia stato Amazon a non aver protetto adeguatamente i server che ha noleggiato a Capital One.
In una lettera inviata a Ron Wyden in agosto, Amazon ha dichiarato che Thompson ha violato i server di Capital One utilizzando una vulnerabilità “SSRF (Server-Side Request Forgery)”. Ciò può accadere quando l’attaccante invia richieste a un server di terze parti vulnerabile anziché al server cloud protetto stesso. È un modo popolare per rubare dati dai server cloud.
“Amazon sapeva, o avrebbe dovuto sapere, che AWS era vulnerabile agli attacchi SSRF“, hanno scritto i senatori in una lettera inviata alla Commissione. “Sebbene i concorrenti di Amazon abbiano affrontato la minaccia di attacchi SSRF diversi anni fa, Amazon continua a vendere servizi di cloud computing difettosi ad aziende, agenzie governative e al pubblico in generale. Pertanto, Amazon condivide la responsabilità del furto di dati su 100 milioni di utenti“.
La replica di Amazon
Wyden e Warren hanno dichiarato che Amazon è a conoscenza di questo problema dal 2018, quando un ricercatore di sicurezza aveva segnalato all’azienda di fornire questo tipo di protezioni. Google offre protezioni contro gli attacchi SSRF dal 2013 e Microsoft ha iniziato a proteggerle nel 2017.
“La dichiarazione della lettera è priva di fondamento e un tentativo di pubblicità da parte di politici opportunisti”, ha dichiarato un portavoce di AWS in una nota. “Come ha spiegato Capital One, l’autore ha attaccato una configurazione errata a livello di applicazione di un firewall Capital One.“