Tout le monde peut accéder à des parties d’un portail Web, utilisé par les forces de l’ordre pour demander des données client à Amazon, même si le portail est censé exiger une adresse e-mail et un mot de passe vérifiés.

Le portail de demande des forces de l’ordre d’Amazon permet à la police et aux agents fédéraux de soumettre des demandes formelles de données client accompagnées d’un ordre juridique, comme une citation à comparaître, un mandat de perquisition ou une ordonnance du tribunal. Le portail est accessible au public depuis Internet, mais les forces de l’ordre doivent enregistrer un compte sur le site afin de permettre à Amazon «d’authentifier» les informations d’identification de l’agent demandeur avant de pouvoir faire des demandes.

Seules les demandes d’urgence urgentes peuvent être soumises sans compte, mais cela nécessite que l’utilisateur «déclare et reconnaisse» qu’il est un agent des forces de l’ordre autorisé avant de pouvoir soumettre une demande.

Le portail n’affiche pas les données des clients et n’autorise pas l’accès aux demandes d’application de la loi existantes. Mais certaines parties du site Web se chargent toujours sans avoir besoin de se connecter, y compris son tableau de bord et le formulaire de demande «standard» utilisé par les forces de l’ordre pour demander des données client.

Le portail offre un rare aperçu de la manière dont Amazon traite les demandes des forces de l’ordre.

Ce formulaire permet aux forces de l’ordre de demander des données client en utilisant une grande variété de points de données, y compris les numéros de commande Amazon, les numéros de série des appareils Amazon Echo et Fire, les détails de carte de crédit et les numéros de compte bancaire, les cartes-cadeaux, les numéros de livraison et d’expédition, et même le Numéro de sécurité sociale des chauffeurs-livreurs.

Il permet également aux forces de l’ordre d’obtenir des enregistrements liés à Amazon Web Services comptes en soumettant des noms de domaine ou des adresses IP liés à la demande.

En supposant qu’il s’agissait d’un bogue, nous avons envoyé plusieurs e-mails à Amazon avant la publication, mais nous n’avons pas reçu de réponse.

Amazon n’est pas la seule entreprise de technologie à disposer d’un portail pour les demandes des forces de l’ordre. Beaucoup des plus grandes entreprises technologiques comptant des millions, voire des milliards d’utilisateurs dans le monde, comme Google et Twitter, ont construit des portails …