Нарушение безопасности у поставщика Amazon привело к утечке миллионов трудовых записей сотрудников

Amazon подтвердила факт утечки данных, в результате которой были раскрыты электронные адреса, номера телефонов и местоположение зданий, принадлежащих ее сотрудникам. Утечка произошла из-за инцидента с безопасностью у одного из поставщиков услуг по управлению недвижимостью Amazon, как сообщает 404 Media.

Компрометированная информация впоследствии была опубликована на форуме, специализирующемся на преступной деятельности, согласно заявлению Amazon для 404 Media.

Утечка данных включает более 2,8 миллиона строк информации, в которой указаны имена сотрудников, контактные данные их рабочих мест и их назначенные рабочие местоположения.

Кибербезопасная компания Hudson Rock утверждает, что это нарушение является частью большой волны атак, связанных с критической уязвимостью MOVEit (CVE-2023-34362), эксплуатируемой пользователем под именем Nam3L3ss.

Найденный в середине 2023 года недостаток позволил хакерам обойти протоколы безопасности, что привело к значительной утечке корпоративных данных в финансовой, медицинской, технологической и розничной отраслях.

Компания по кибербезопасности Hudson Rock отметила инцидент с MOVEit, связав его с обнаруженными директориями 25 крупных компаний, в которых были раскрыты имена, электронные адреса, номера телефонов и внутренние структуры — ценная информация для фишинга и кражи идентификационных данных.

В заявлении для Verge представитель Amazon Адам Монтгомери объяснил, что компания была «уведомлена о происшествии, связанном с безопасностью, у одного из наших поставщиков услуг по управлению имуществом, которое затронуло несколько его клиентов, включая Amazon».

Он добавил: «Единственная информация Amazon, которая была затронута, это контактная информация сотрудников для работы, например, рабочие адреса электронной почты, номера стационарных телефонов и местоположение зданий».

Amazon пояснил для 404 Media, что поставщик получил только основную контактную информацию сотрудников, не имея доступа к более чувствительным данным, таким как номера социального обеспечения, государственные идентификаторы или финансовую информацию.

Согласно Amazon, поставщик теперь устранил уязвимость в безопасности, ответственную за утечку данных, как сообщает 404 Media.

Это нарушение подчеркивает постоянные риски, связанные с уязвимостями сторонних поставщиков, освещая, как они могут затронуть крупные компании, такие как Amazon, даже когда их основные системы, включая Amazon Web Services, остаются неповрежденными.