米警察当局はアマゾンの顧客データを情報要求ポータルから入手している

次の記事

ノンピ「nonpi foodbox」が法人向けオンラインランチ会議専用の食事配送を開始

あるウェブポータルは警察がAmazon(アマゾン)の顧客データを要求するために使われているもので、認証されたメールアドレスとパスワードが必要なはずだが、誰でもその一部をアクセスできてしまう。

アマゾンの警察向け情報要求ポータルでは、警察および連邦捜査員が、召喚状、捜査令状、裁判所命令などの法的命令書があれば、正式に顧客データを要求できる。このポータルはインターネット上で公開されているが、要求するためにはアカウントを登録して、アマゾンが警察担当者の身元を「認証」する必要がある。

緊急を要する機密な要求に限ってアカウントがなくても請求できるが、この場合ユーザーは提出前に自分が承認された警察官であることを「宣言」しなくてはならない。

ポータルでは、顧客データを表示したり、警察による過去の請求情報を調べることはできない。しかし、ウェブサイトの一部はログインしなくても見ることが可能で、ダッシュボードや警察当局が顧客データを請求する「標準」請求フォームを見ることができる。

このポータルはアマゾンが警察当局の要求をどのように扱っているかを垣間見るめったにない機会を提供している。


警察当局はこのフォームを使って、さまざまな種類のデータに基づいて顧客データを請求できる。アマゾンの注文番号、Amazon EchoやFireデバイスのシリアルナンバー、クレジットカードの詳細情報、銀行口座番号、ギフトカード、配送および出荷番号、さらには配達ドライバーの社会保障番号も使用できる。

さらに警察は、ドメイン名やIPアドレスを送ってAmazon Web Service(アマゾン・ウェブサービス)アカウントに関連する記録を取得することもできる。

これをバグだと考えたTechCrunchは、本記事を公開する前に何通かのメールをアマゾンに送ったが返信はなかった。

警察の情報請求ためのポータルを用意しているテック企業は同社だけではない。Google(グーグル)、Twitter(ツイッター)をはじめとする、世界に数百数千万いや数十億のユーザーをもつテック企業最大手の多くが、警察が顧客やユーザーのデータを要求するためのポータルを作っている。

今月はじめにMotherboard誌が同様の問題を取り上げ、FacebookとWhatsApp(ワッツアップ)の警察ポータルがどんなメールアドレスでもアクセスできてしまうことを報じた。

関連記事:スマート家電メーカーは見聞きした情報を政府に開示するのか?

カテゴリー:セキュリティ

タグ:アマゾン スマートスピーカー

[原文へ]

(翻訳:Nob Takahashi / facebook