Amazon Confirma Roubo de Dados de Funcionários Após Hack de Fornecedor

Na segunda-feira, o gigante do comércio eletrônico Amazon confirmou que alguns dos dados de seus funcionários foram comprometidos após um “evento de segurança” em um de seus fornecedores de gerenciamento de propriedades de terceiros (via TechCrunch).

Apesar da gravidade do incidente de segurança, a empresa assegurou que seus próprios sistemas, incluindo os da Amazon Web Services (AWS), permanecem seguros.

Ela também acrescentou que a violação de segurança no fornecedor foi limitada a detalhes de contato relacionados ao trabalho, como e-mails de trabalho dos funcionários, números de telefone de mesa e locais de prédios, e nenhuma informação sensível, como números de Seguro Social ou dados financeiros, foi comprometida.

“Os sistemas da Amazon e da AWS permanecem seguros, e não experimentamos um evento de segurança”, disse Adam Montgomery, um porta-voz da Amazon, em uma declaração ao TechCrunch.

“Fomos notificados sobre um evento de segurança em um de nossos fornecedores de gerenciamento de propriedades que impactou vários de seus clientes, incluindo a Amazon. A única informação da Amazon envolvida foi a informação de contato de trabalho dos funcionários, por exemplo, endereços de e-mail de trabalho, números de telefone de mesa e locais de prédios.”

Embora a Amazon não tenha divulgado o número de funcionários afetados, mencionou que a vulnerabilidade de segurança responsável pela violação de dados já foi resolvida na parte do fornecedor.

A confirmação da Amazon segue um relatório do fornecedor de cibersegurança Hudson Rock, que detectou as informações roubadas publicadas em um fórum de hacking por um ator de ameaça usando o pseudônimo “Nam3L3ss.”

Disse que as informações roubadas postadas no BreachForums, um site notório na comunidade de hacking, incluíam dados da Amazon e de 24 outras grandes organizações, incluindo MetLife, HP, HSBC e Canada Post.

De acordo com a Hudson Rock, o ator de ameaça afirma possuir mais de 2,8 milhões de linhas de informações de contato de funcionários individuais da Amazon, incluindo seus nomes completos.

A empresa também relatou que o ator de ameaça afirmou ter vazado apenas menos de 0,001% do total de dados roubados, prometendo mais liberações no futuro.

A empresa de cibersegurança diz que as informações roubadas datam de maio de 2023, quando uma vulnerabilidade crítica de dia zero no MOVEIt, uma plataforma popular de transferência de arquivos usada por muitas empresas, foi explorada.

Essa falha permitiu que um atacante não autenticado contornasse os protocolos de autenticação por meio de uma injeção SQL, potencialmente concedendo acesso não autorizado ao banco de dados MOVEit Transfer e obtendo acesso a dados sensíveis.

A notória gangue de ransomware e extorsão Clop foi alegadamente a responsável pela violação do MOVEit, que foi o maior hack de 2023.

Por exemplo, o Departamento de Transporte de Oregon nos EUA teve 3,5 milhões de registros roubados.

Em contraste, o Departamento de Política e Financiamento de Cuidados de Saúde do Colorado e um contratante do governo dos EUA, Maximus, tiveram 4 milhões e 11 milhões de registros roubados, respectivamente.