Amazon, hackerın MOVEit ihlali iddiasının ardından çalışan verilerinin çalındığını doğruladı

Amazon, üçüncü taraf bir satıcıdaki bir “güvenlik olayı” sonrasında çalışan verilerinin tehlikeye atıldığını doğruladı.

Pazartesi günü TechCrunch’a yapılan açıklamada Amazon sözcüsü Adam Montgomery, çalışan bilgilerinin bir veri ihlaline karıştığını doğruladı.

“Amazon ve AWS sistemleri güvende kalıyor ve herhangi bir güvenlik olayı yaşamadık. Mülk yönetimi tedarikçilerimizden birinde, Amazon da dahil olmak üzere pek çok müşterisini etkileyen bir güvenlik olayı hakkında bilgilendirildik. Montgomery, söz konusu olan tek Amazon bilgisinin, örneğin iş e-posta adresleri, masa telefon numaraları ve bina konumları gibi çalışanların iş iletişim bilgileri olduğunu söyledi.

Amazon, ihlalden kaç çalışanın etkilendiğini söylemeyi reddetti. Adı açıklanmayan üçüncü taraf satıcının Sosyal Güvenlik numaraları veya mali bilgiler gibi hassas verilere erişimi olmadığını belirten şirket, satıcının veri ihlalinden sorumlu olan güvenlik açığını giderdiğini belirtti.

Onay, bir tehdit aktörünün Amazon’dan çalınan verileri kötü şöhretli bilgisayar korsanlığı sitesi BreachForums’ta yayınladığını iddia etmesinden sonra geldi. Kişi, geçen yıl MOVEit Transfer’in kitlesel kullanımı sırasında çalındığını söylediği 2,8 milyondan fazla veri satırına sahip olduğunu iddia ediyor.

Siber güvenlik firması Hudson Rock’ın bildirdiğine göre, “Nam3L3ss” takma adı altında faaliyet gösteren tehdit aktörü, 25 büyük kuruluştan çalındığı iddia edilen verileri yayınladığını iddia ediyor.

Tehdit aktörü, “Şu ana kadar gördükleriniz, sahip olduğum verilerin %0,001’inden daha azını” iddia ediyor. “Daha önce görülmemiş 1000 yayınım var.”

TechCrunch, tehdit aktörünün listelediği diğer kuruluşlarla temasa geçti ancak henüz başka yanıt alamadı.

Saldırganların Progress Software’in dosya aktarım yazılımındaki sıfır gün güvenlik açığından yararlanmasına neden olan MOVEit ihlali, 2023’ün en büyük hack’iydi.

Kötü şöhretli Clop fidye yazılımı ve gasp çetesi tarafından iddia edilen bu saldırılar, Oregon Ulaştırma Bakanlığı (3,5 milyon kayıt çalındı), Colorado Sağlık Hizmetleri Politikası ve Finansman Dairesi (dört milyon) ve ABD hükümeti dahil olmak üzere 1.000’den fazla kuruluşu etkiledi. hizmet taahhüt devi Maximus (11 milyon).