月曜日、電子商取引大手のアマゾンは、サードパーティの不動産管理ベンダーの1つでの「セキュリティイベント」を受けて従業員データの一部が侵害されたことを認めた(経由)テッククランチ)。
セキュリティインシデントの深刻さにも関わらず、同社はアマゾン ウェブ サービス(AWS)のシステムを含む自社システムの安全性が維持されることを保証した。
また、ベンダーでのセキュリティ侵害は従業員の仕事用電子メール、デスクの電話番号、建物の場所などの仕事関連の連絡先情報に限定されており、社会保障番号や財務データなどの機密情報は侵害されていなかったと付け加えた。
「Amazon と AWS のシステムは引き続き安全であり、セキュリティイベントは発生していません」と Amazon の広報担当者、アダム モンゴメリーは声明で述べました。テッククランチ。
「当社の不動産管理ベンダーの 1 つで、Amazon を含む複数の顧客に影響を与えたセキュリティ イベントについての通知を受けました。関与する唯一の Amazon 情報は、従業員の勤務先の連絡先情報 (勤務先の電子メール アドレス、デスクの電話番号、建物の位置など) でした。」
Amazonは影響を受けた従業員の数を明らかにしていないが、データ侵害の原因となったセキュリティ上の脆弱性はその後ベンダー側で解決されたと述べた。
Amazonの確認は以下の通りサイバーセキュリティベンダーのHudson Rockからのレポート、彼は、エイリアス「Nam3L3ss」を使用する攻撃者によってハッキング フォーラムで公開された盗まれた情報を発見しました。
ハッキングコミュニティで悪名高いサイト「BreachForums」に投稿された盗まれた情報には、アマゾンのほか、メットライフ、HP、HSBC、カナダポストなど主要組織24社からのデータが含まれていたという。
Hudson Rock によると、この攻撃者はフルネームを含む 280 万行を超える Amazon 従業員の個別の連絡先情報を所有していると主張しています。
同社はまた、この攻撃者が、盗まれたデータ全体の 0.001% 未満しか漏洩していないと主張し、将来さらに多くのデータを公開すると約束したと報告した。
サイバーセキュリティ会社によると、盗まれた情報は2023年5月に遡り、多くの企業で使用されている人気のファイル転送プラットフォームであるMOVEItのゼロデイ重大脆弱性が悪用された。
この欠陥により、認証されていない攻撃者が SQL インジェクションを通じて認証プロトコルをバイパスし、MOVEit Transfer データベースへの不正アクセスを許可し、機密データへのアクセスを取得する可能性がありました。
悪名高い Clop ランサムウェアと恐喝ギャングが、2023 年最大のハッキングである MOVEit 侵害の背後にいると主張されました。
たとえば、米国のオレゴン州運輸局では 350 万件の記録が盗まれました。
対照的に、コロラド州医療政策・財政局と米国政府請負業者マキシマス社は、それぞれ400万件と1,100万件の記録を盗まれた。
