アマゾン、ベンダーのハッキング後に従業員データが盗まれたことを確認

月曜日、eコマースの巨人アマゾンは、第三者の不動産管理ベンダーでの「セキュリティイベント」に続いて、一部の従業員データが侵害されたことを確認しました（TechCrunch経由）。

セキュリティインシデントの深刻さにもかかわらず、同社はアマゾンウェブサービス（AWS）を含む自社のシステムは安全であると保証しました。

また、ベンダーでのセキュリティ侵害は、従業員の業務用メール、デスク電話番号、建物の場所など、業務関連の連絡先情報に限定されており、社会保障番号や財務データなどの機密情報は侵害されていないと付け加えました。

「アマゾンとAWSのシステムは安全であり、私たちはセキュリティイベントを経験していません」と、アマゾンの広報担当者アダム・モンゴメリーはTechCrunchへの声明で述べました。

「私たちは、アマゾンを含むいくつかの顧客に影響を与えた不動産管理ベンダーのセキュリティイベントについて通知を受けました。関与したアマゾンの情報は、業務用の連絡先情報、例えば業務用メールアドレス、デスク電話番号、建物の場所だけでした。」

アマゾンは影響を受けた従業員の数を明らかにしませんでしたが、データ侵害の原因となったセキュリティ脆弱性は、ベンダー側で解決されたと述べました。

アマゾンの確認は、サイバーセキュリティベンダーのハドソンロックからの報告に続くもので、同社は「Nam3L3ss」というエイリアスを使用する脅威アクターによってハッキングフォーラムに公開された盗まれた情報を発見しました。

盗まれた情報は、アマゾンとメットライフ、HP、HSBC、カナダポストを含む24の主要な組織からのデータを含むと述べています。

ハドソンロックによると、脅威アクターは、アマゾンの従業員の連絡先情報の280万行以上を所有していると主張しています。

同社はまた、脅威アクターが盗まれたデータの総量の0.001%未満しか漏洩していないと主張し、今後さらにリリースすることを約束しています。

サイバーセキュリティ企業は、盗まれた情報は2023年5月に遡り、多くの企業が使用する人気のファイル転送プラットフォームMOVEItのゼロデイの重大な脆弱性が悪用されたと述べています。

この欠陥により、認証されていない攻撃者がSQLインジェクションを通じて認証プロトコルをバイパスし、MOVEit Transferデータベースへの不正アクセスを許可し、機密データにアクセスできる可能性がありました。

悪名高いClopランサムウェアおよび恐喝ギャングがMOVEit侵害の背後にいるとされており、これは2023年の最大のハッキング事件でした。

例えば、米国のオレゴン州運輸省では350万件の記録が盗まれました。

対照的に、コロラド州保健政策および財政局と米国政府の請負業者であるマキシマスでは、それぞれ400万件と1100万件の記録が盗まれました。