あるウェブポータルは、警察がAmazon(アマゾン)の顧客データを要求するために使われているもので、認証されたメールアドレスとパスワードが必要なはずだが、だれでもその一部をアクセスできてしまう。
Amazonの警察向け情報要求ポータルでは、警察および連邦捜査員が、召喚状、捜査令状、裁判所命令などの法的命令書と共に正式に顧客データを要求できる。このポータルはインターネット上で公開されているが、要求するためにはアカウントを登録して、Amazonが警察担当者の身元を「認証」する必要がある。
緊急を要する機密な要求に限り、アカウントがなくても請求できるが、この場合ユーザーは、提出前に自分が承認された警察官であることを「宣言」しなくてはならない。
ポータルでは顧客データを表示したり、警察による過去の請求情報を調べたりすることはできない。しかし、ウェブサイトの一部はログインしなくても見ることが可能で、ダッシュボードや、警察当局が顧客データを請求する「標準」請求フォームを見ることができる。
このポータルは、Amazonが警察当局の要求をどのように扱っているかを垣間見るめったにない機会を提供している。
警察当局はこのフォームを使って、さまざまな種類のデータに基づいて顧客データを請求できる。Amazonの注文番号、Amazon EchoやFireデバイスのシリアルナンバー、クレジットカードの詳細情報、銀行口座番号、ギフトカード、配送および出荷番号、さらには配達ドライバーの社会保障番号も使用できる。
さらに警察は、ドメイン名やIPアドレスを送ってAmazon Web Service(アマゾン・ウェブサービス)アカウントに関連する記録を取得することもできる。
これをバグだと考えた本誌は、本稿を公開する前に、何通かのメールをAmazonに送ったが返信はなかった。
警察の情報請求ためのポータルを用意しているテック企業はAmazonだけではない。Google(グーグル)、Twitter(ツイッター)を始めとする、世界に数百数千万いや数十億のユーザーをもつテック企業最大手の多くが、警察が顧客やユーザーのデータを要求するためのポータルを作っている。
今月はじめにMotherboard誌が同様の問題を取り上げ、FacebookとWhatsApp(ワッツアップ)の警察ポータルがどんなメールアドレスでもアクセスできてしまうことを報じた。
関連記事:
スマート家電メーカーは見聞きした情報を政府に開示するのか?
[原文へ]
(翻訳:Nob Takahashi / facebook )