המפתחות בכיס: איך גורמים סינים עלולים לנצל פרצת אבטחה קריטית באמזון?

דיווחים בארה"ב מעידים על כך שיש אפשרות לכך שחברות סליקת תשלומים סיניות מנצלות את חוסר הידע והגישה הקלה למפתחות סודיים של מוכרים אמריקאים, ובכך עלולים להשיג גישה למידע רגיש על אין ספור צרכנים בארצות הברית. הכל על השיטה, הדמיון לקיימברידג' אנלטיקה, הגודל המטורף של אמזון והשוק הסיני ההולך וצומח.

סערה גדולה מאוד מתחוללת בימים אלו בעולם הדאטה, כאשר אחת מהמטרות המרכזיות היא דווקא, תאמינו או לא, אמזון. על פי דיווחים שונים מארה"ב, מספר גדול ובלתי ידוע של חברות סליקת תשלומים (Payment Processing) סיניות עלולות לנצל חורים באבטחת הדאטה שבשירותי ה-MWS המבוססי ענן של אמזון, ובכך לפגוע במוכרים, לקוחות והמוניטין של החברה. חברות הצד השלישי הסיניות הללו יכולות להגיע למידע רגיש על מיליוני אמריקאים, תוך כדי הפרת מגוון רחב של תקנות בינלאומיות ברשת.

מדובר בסיפור שהוא די דומה לפרשיית פייסבוק עם קיימברידג' אנלטיקה, אך הפעם, הפגיעה יכולה להיות גדולה וממוקדת יותר, שכן עשרות חברות סיניות יכולות להשיג מידע רגיש ואישי על מיליוני אמריקאים, כולל היסטוריית רכישה, מספר כרטיס אשראי ומידע אישי נוסף.

איך זה קורה?

ובכן, החברות צד ג' הללו יכולות לשים ידן על מפתחות פרטיים (Private keys) של מוכרי אמזון דרך פלטפורמת ה-MWS, שהם למעשה בלתי מוגבלים ומעניקים גישת API מלאה לפרטים אישיים בתוך שירותי הענן. הטריק יכול לעבוד על ידי בקשת המפתחות הנ"ל ממוכרים אמריקאים, למרות שהם אינם נחוצים בכלל לצרכי תשלום או פיתוח. חוסר הידע והתמימות של המוכרים יוצרים מצב בעייתי מאוד של גישת API מלאה של הגורמים הסיניים הללו למאגר המידע של המשתמשים של אמזון בפלטפורמת ה-MWS.

ישנן כמה דרכים לקבל מפתח, הכוללות שיטות של בקשת מפתח בזמן התשלום, או העסקת מפתחים שמבקשים להיכנס לחשבונות של המוכרים על מנת לבצע עבודות פיתוח שונות. הדרך לקבל הרשאה לפיתוח אפליקציות באמזון היא קלה מאוד וכוללת כמה צעדים פשוטים, עליהם מצליחים גורמים עוינים לדלג בקלות. בשיטה הדי פשוטה והמגוחכת הזו שבה גורמים סיניים מנסים לשכנע מוכרים אמריקאים לתת להם את המפתחות הללו בזמן תשלום או תהליך פיתוחי, למרות שהאמריקאים לא בדיוק בטוחים למה התהליך הזה הכרחי– נפרץ מאגר מידע רגיש, שיכול להפוך בין רגע למשהו מאוד מסוכן, ואף יקר.

באופן טבעי, פרצת האבטחה הזו של אמזון והניצול הסיני של העניין מעלים את ההקשר של "מלחמת הסחר הקרה" בין ארה"ב לסין, שבמסגרתה הטיל הנשיא דונלד טראמפ מיסים חדשים על הסינים, במה שגרם למשבר גדול וסנקציות גם מצד הסינים. המלחמה הזו נמשכת והיא משפיעה באופן ישיר על התמחור של מוצרים מכל הסוגים, ולא רק בעולם האיקומרס. לחברות הללו יכולה להיות גישה למיליוני לקוחות של אמזון שקונים מוצרים מסין והיכולת להעביר מיליארדים של דולרים אל תוך סין.

בואו נדבר מספרים

השוק של אמזון הוא עצום כאשר לא פחות מ-50 מיליון בתי אב באמריקה היו רשומים לשירותי אמזון פריים בסוף שנת 2017. החברה מכרה מוצרים בשווי של 177.9 מיליארד דולר בשנת 2017, במה שהיווה עליה של 31 אחוזים מ-2016, והמגמה, כמו שקל להבין, רק הולכת ומתעצמת עם הזמן. ההערכה הרווחת היא שעד שנת 2022, יהיו רשומים לשירותי אמזון 56 מיליון אנשים בארה"ב, ו-122 מיליון אנשים ברחבי העולם. הגודל הוא בלתי נתפס, והסכנה היא גדולה מאוד עבור אותם משתמשים רשומים.

מקור: Marketplacepulse

סין מהווה שליש מהשוק של אמזון, כלומר שכשליש מהמוצרים מגיעים ממוכרים סיניים. לא פחות מ-34 אחוזים מהמוכרים יושבים בסין על פי חישוב ממוצע של חמשת הזירות האירופאיות – אנגליה, גרמניה, צרפת, ספרד ואיטליה, ו-250 אלף סינים הצטרפו לשירותי אמזון בשנת 2017 בלבד. כ-50 אחוזים מהמוצרים שנמכרים באמזון הם על ידי גורמים של צד שלישי (מוכרים, לא אמזון עצמה), ונתח גדול מאוד מהסחורה הזו (כ-30 אחוזים) מגיע מסין. יש כחצי מיליון חברות וגורמים עצמאיים סינים שמוכרים באמזון, כאשר הרוב הן חברות צד שלישי שמנסות לדלות מידע מה-MWS כדי לקדם את עצמן. הרבה חברות (כחצי מהן על פי ההערכות), משתמשות בחברות סליקת תשלומים ייעודיות, שמנסות לקצר תהליכים, "לעבוד" על המערכת, ולהיכנס למאגר המידע הזה בעזרת כרטיסים שנגנבו. שתי חברות גדולות וידועות שעל פי החשד עובדות כך הן ping pong I-lian lian pay, כאשר על פי ההערכות, יש לפחות 25 חברות PMT שעובדות בצורה הזו.

לסיכום

הנחת העבודה היא שבסוף אמזון לא תוכל להעלים עין מפרצת האבטחה הזו ובשלב הראשוני תבהיר למוכרים שלה שלא לתת את המפתח הסודי לאף גורם, שכן יש הנחה ברשת בקרב מוכרים כי המפתחות הללו הם חסרי ערך . החודשים הקרובים הם קריטיים לאמזון, שאמורה לזרז את תהליכי הפריסה הבינלאומיים שלה, שנעשית במקביל לאותה מלחמה קרה ומעניינת בין טראמפ לסינים. יהיה מעניין לראות כיצד אמזון תלך בין הטיפות כדי לנסות לרצות את כל הצדדים ובמקביל, להמשיך לגדול ולהתפתח.

טיפ למוכרי אמזון – אל תמהרו לשחרר את המפתחות הפרטיים שלכם לכל אחד.