Amazon Conferma Furto di Dati dei Dipendenti Dopo Hack di un Fornitore

Lunedì, il gigante dell’e-commerce Amazon ha confermato che alcuni dei dati dei suoi dipendenti sono stati compromessi a seguito di un “evento di sicurezza” presso uno dei suoi fornitori di gestione immobiliare di terze parti (via TechCrunch).

Nonostante la gravità dell’incidente di sicurezza, l’azienda ha assicurato che i propri sistemi, inclusi quelli di Amazon Web Services (AWS), rimangono sicuri.

Ha anche aggiunto che la violazione della sicurezza presso il fornitore era limitata ai dettagli di contatto lavorativi, come le email di lavoro dei dipendenti, i numeri di telefono delle scrivanie e le posizioni degli edifici, e nessuna informazione sensibile, come i numeri di previdenza sociale o i dati finanziari, è stata compromessa.

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo subito un evento di sicurezza,” ha dichiarato Adam Montgomery, un portavoce di Amazon, in una dichiarazione a TechCrunch.

“Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha impattato diversi dei suoi clienti, incluso Amazon. L’unica informazione di Amazon coinvolta era l’informazione di contatto lavorativa dei dipendenti, ad esempio, indirizzi email di lavoro, numeri di telefono delle scrivanie e posizioni degli edifici.”

Sebbene Amazon non abbia rivelato il numero di dipendenti coinvolti, ha menzionato che la vulnerabilità di sicurezza responsabile della violazione dei dati è stata successivamente risolta da parte del fornitore.

La conferma di Amazon segue un rapporto del fornitore di cybersecurity Hudson Rock, che ha individuato le informazioni rubate pubblicate su un forum di hacking da un attore malevolo con lo pseudonimo “Nam3L3ss.”

Ha affermato che le informazioni rubate pubblicate su BreachForums, un sito noto nella comunità di hacking, includevano dati di Amazon e di altre 24 grandi organizzazioni, tra cui MetLife, HP, HSBC e Canada Post.

Secondo Hudson Rock, l’attore malevolo afferma di possedere oltre 2,8 milioni di righe di informazioni di contatto individuali dei dipendenti di Amazon, inclusi i loro nomi completi.

L’azienda ha anche riportato che l’attore malevolo ha affermato di aver divulgato solo meno dello 0,001% del totale dei dati rubati, promettendo ulteriori rilasci in futuro.

La società di cybersecurity afferma che le informazioni rubate risalgono a maggio 2023, quando una vulnerabilità critica zero-day in MOVEIt, una popolare piattaforma di trasferimento file utilizzata da molte aziende, è stata sfruttata.

Questo difetto ha permesso a un attaccante non autenticato di bypassare i protocolli di autenticazione tramite un’iniezione SQL, potenzialmente concedendo accesso non autorizzato al database di MOVEit Transfer e ottenendo accesso a dati sensibili.

La nota gang di ransomware e estorsione Clop è stata ritenuta responsabile della violazione di MOVEit, che è stata l’hack più grande del 2023.

Ad esempio, il Dipartimento dei Trasporti dell’Oregon negli Stati Uniti ha subito il furto di 3,5 milioni di record.

Al contrario, il Dipartimento della Salute e della Politica di Finanziamento della Colorado e un appaltatore del governo degli Stati Uniti, Maximus, hanno subito il furto rispettivamente di 4 milioni e 11 milioni di record.