Niemal 3 miliony rekordów danych pracowników – m.in. ich adresy mailowe i numery telefonów wyciekły na skutek incydentu związanego z luką w zabezpieczeniach oprogramowania MOVEit, która została odkryta w zeszłym roku.
Amazon potwierdził, że dane jego pracowników zostały ujawnione w wyniku naruszenia bezpieczeństwa informacji, związanego z luką w zabezpieczeniach MOVEit (CVE-2023-34362). Do naruszenia doszło po stronie dostawcy usług zarządzania nieruchomościami, co miało wpływ na klientów tej firmy, w tym Amazon. Dane, które wyciekły w efekcie tego zdarzenia to: adresy e-mail pracowników, ich numery telefonów i lokalizacje budynków.
Amazon nie jest jedyną firmą (w sumie jest ich aż 25), która została poszkodowana w wyniku wycieku, ale w jego przypadku skala jest największa i obejmuje ponad 2,86 miliona z ponad 5 milionów rekordów dotkniętych naruszeniem bezpieczeństwa informacji. Dane są rozpowszechniane na BreachForums przez użytkownika o nazwie Nam3L3ss, chociaż początkowa luka była wykorzystywana przez grupę ransomware Cl0p.
– Wyciek danych dotyczący Amazona pokazuje, że łańcuchy dostaw są nieustannie narażone na zagrożenia, jakimi są zarówno nowe, jak i znane luki w zabezpieczeniach. Potwierdza to także krytyczną potrzebę ulepszania procesów zarządzania ryzykiem. Pomimo tego, że pierwotna luka w zabezpieczeniach oprogramowania MOVEit została zlokalizowana i załatana już w zeszłym roku, organizacje nadal doświadczają problemów z nią związanych, gdyż jak pokazuje ten atak, nie wszystkie wprowadziły odpowiednie aktualizacje. Incydent ten powinien również stanowić przypomnienie, że nawet duże firmy technologiczne z zaawansowanymi środkami bezpieczeństwa są nadal podatne na luki w zabezpieczeniach u swoich poddostawców. Tym bardziej należy zachować czujność i jeśli to możliwe weryfikować, czy nasi kontrahenci stosują odpowiednie procedury bezpieczeństwa (np. aktualizacje) – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.