Amazon a confirmé que les données des employés avaient été compromises après un « événement de Sécurité » chez un fournisseur tiers.
Dans une déclaration donnée à fr.techtribune.netlundi, le porte-parole d’Amazon, Adam Montgomery, a confirmé que des informations sur les employés avaient été impliquées dans une violation de données.
« Les systèmes Amazon et AWS restent sécurisés et nous n’avons pas connu d’événement de sécurité. Nous avons été informés d’un événement de sécurité chez l’un de nos fournisseurs de gestion immobilière qui a eu un impact sur plusieurs de ses clients, dont Amazon. Les seules informations Amazon concernées étaient les coordonnées professionnelles des employés, par exemple les adresses e-mail professionnelles, les numéros de téléphone de bureau et les emplacements des bâtiments », a déclaré Montgomery.
Amazon a refusé de dire combien d’employés ont été touchés par la violation. Il a noté que le fournisseur tiers anonyme n’a pas accès aux données sensibles telles que les numéros de sécurité sociale ou les informations financières, et a déclaré que le fournisseur avait corrigé la vulnérabilité de sécurité responsable de la violation de données.
La confirmation intervient après qu’un acteur de la menace a affirmé avoir publié des données volées à Amazon sur le site de piratage notoire BreachForums. L’individu affirme avoir plus de 2,8 millions de lignes de données, qui, selon eux, ont été volées lors de l’exploitation massive de MOVEit Transfer l’année dernière.
L’acteur de la menace, opérant sous le pseudonyme « Nam3L3ss », affirme avoir publié des données qui auraient été volées à 25 grandes organisations, la société de cybersécurité Hudson Rock Rapports.
« Ce que vous avez vu jusqu’à présent représente moins de 0,001% des données dont je dispose », affirme l’acteur de la menace. « J’ai 1 000 sorties qui arrivent et qui n’ont jamais été vues auparavant. »
fr.techtribune.neta contacté les autres organisations répertoriées par l’acteur de la menace, mais n’a pas encore reçu d’autres réponses.
La violation de MOVEit, qui a vu des attaquants exploiter une vulnérabilité zero-day dans le logiciel de transfert de fichiers de Progress Software, a été le plus grand piratage de 2023.
Ces piratages, qui ont été revendiqués par le célèbre gang de ransomware et d’extorsion Clop, ont touché plus de 1 000 organisations, dont le ministère des Transports de l’Oregon (3,5 millions de dossiers volés), le ministère de la Politique et du Financement des soins de santé du Colorado (quatre millions) et le géant américain des services gouvernementaux Maximus (11 millions).
