这就是警方向亚马逊索取客户数据的方式

2020-09-27 21:30:12

亚马逊的执法请求门户网站允许警方和联邦特工提交正式的客户数据请求以及法律命令,如传票、搜查令或法院命令。该门户可以从互联网上公开访问,但执法部门必须在该网站注册一个账户,以便允许亚马逊在提出请求之前对提出请求的官员的凭证进行“认证”。

只有时间敏感的紧急请求才能在没有帐户的情况下提交,但这需要用户在提交请求之前“声明并确认”他们是一名授权的执法人员。

该门户不显示客户数据,也不允许访问现有的执法请求。但网站的部分内容仍然无需登录就可以加载,包括仪表板和执法部门用来请求客户数据的“标准”请求表。

此表单允许执法部门使用各种数据点请求客户数据,包括亚马逊订单号、Amazon Echo和Fire设备的序列号、信用卡详细信息和银行账号、礼品卡、送货和发货编号,甚至送货司机的社会保险号。

它还允许执法部门通过提交与请求相关的域名或IP地址来获取与Amazon Web服务帐户相关的记录。

假设这是一个漏洞,我们在发布之前给亚马逊发了几封电子邮件,但没有收到回复。

亚马逊并不是唯一家拥有执法请求门户的科技公司。许多在世界各地拥有数百万甚至数十亿用户的大型科技公司,如谷歌和Twitter,都建立了门户,允许执法部门请求客户和用户数据。

本月早些时候,Motherboard报告了一个类似的问题,允许任何拥有电子邮件地址的人访问Facebook和WhatsApp建立的执法门户。