来源 | 云头条
任何人都可以访问执法部门用来向亚马逊索要客户数据的一个门户网站上的部分内容,即使该门户网站理应需要经过验证的电子邮件地址和密码。
该门户网站罕见地披露了亚马逊如何处理执法部门索要数据方面的信息
亚马逊供执法部门索要数据的门户网站允许警察和联邦特工提交索要客户数据的正式请求以及法律命令,比如传票、搜查令或法院指令。该门户网站可以从互联网上公开访问,但执法部门必须在该门户网站注册一个帐户,以便允许亚马逊“验证核实”索要数据的政府人员的登录信息。
只有时间紧迫的紧急请求才可以在没有帐户的情况下提交,但这要求用户在提交请求之前必须“声明并确认”自己是经过授权的执法人员。
虽然该门户网站没有显示客户数据,也不允许访问现有的执法请求,但是该网站的部分内容仍无需登录即可自动加载,包括其仪表板和执法部门用来索要客户数据的“标准”请求表单。
该表单让执法人员可以使用诸多数据点索要客户数据,这些数据点包括亚马逊订单号、亚马逊Echo及Fire设备的序列号、信用卡资料及银行账号、代金券、交付及发货编号,甚至是送货司机的社会保障号。
表单还让执法人员可以通过提交与数据索要有关的域名或IP地址来获取与AWS帐户相关的记录。
亚马逊不是唯一为执行部门索要数据而开设门户网站的科技公司。在全球拥有数百万甚至数十亿用户的许多大型科技公司(比如谷歌和Twitter)都已建立了门户网站,允许执法部门索要客户数据和用户数据。
另一家外媒Motherboard在本月初报道了一个类似的问题,凡是有电子邮件地址的人都可以访问由Facebook和WhatsApp建立的执法部门索要数据门户网站。