Amazon a confirmé une violation de données impliquant des informations sur les employés après que des données prétendument volées lors des attaques MOVEit de mai 2023 ont été divulguées sur un forum de piratage.
L’auteur de la menace à l’origine de cette fuite de données, connu sous le nom de Nam3L3ss, a publié plus de 2,8 millions de lignes de données sur les employés d’Amazon, y compris les noms, les coordonnées, les emplacements des bâtiments, les adresses e-mail, etc.
Le porte-parole d’Amazon, Adam Montgomery, a confirmé les affirmations de Nam3L3ss, ajoutant que ces données avaient été volées sur des systèmes appartenant à un fournisseur de services tiers.
« Les systèmes Amazon et AWS restent sécurisés et nous n’avons rencontré aucun événement de sécurité. Nous avons été informés d’un événement de sécurité chez l’un de nos fournisseurs de gestion immobilière qui a eu un impact sur plusieurs de ses clients, y compris Amazon », a déclaré Montgomery.
« Les seules informations Amazon impliquées étaient les coordonnées professionnelles des employés, par exemple les adresses e-mail professionnelles, les numéros de téléphone de bureau et les emplacements des bâtiments. »
La société a déclaré que le fournisseur piraté n’avait accès qu’aux coordonnées des employés et que les attaquants n’avaient pas accédé ni volé d’informations sensibles sur les employés telles que les numéros de sécurité sociale, les pièces d’identité gouvernementales ou les informations financières. Amazon a ajouté que le fournisseur avait depuis corrigé la vulnérabilité de sécurité utilisée dans l’attaque.
Nam3L3ss a également divulgué les données de vingt-cinq autres sociétés. Cependant, ils disent que certaines des données ont été obtenues à partir d’autres sources, y compris les sites de fuite des gangs de rançon et les buckers AWS et Azure exposés.
« Je télécharge des bases de données entières à partir de sources Web exposées, notamment des bases de données et des sauvegardes mysql, postgres, SQL Server, des bases de données et des sauvegardes Azure, etc., puis je les convertis au format csv ou autre », ont-ils déclaré.
« NE ME DEMANDEZ PAS l’accès à mon stockage, etc., à l’heure actuelle, j’ai bien plus de 250 To de fichiers de base de données archivés, etc. »
La liste des entreprises dont les données ont été volées lors d’attaques MOVEit ou récoltées à partir de ressources exposées à Internet et qui ont maintenant été divulguées sur le forum de piratage comprend Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s et Metlife, entre autres (comme indiqué dans le tableau ci-dessous).
Breachtrace a contacté plusieurs entreprises et mettra à jour cet article lorsque des informations supplémentaires seront disponibles.
Entreprise | Date Volée | Nombre d’employés |
Lenovo | 2023-05 | 45,522 |
McDonald’s | 2023-05 | 3,295 |
HP | 2023-05 | 104,119 |
City National Bank | 2023-05 | 9,358 |
BT | 2023-05 | 15,347 |
dsm-firmenich | 2023-05 | 13,248 |
Rush University | 2023-05 | 15,853 |
URBN | 2023-05 | 17,553 |
Westinghouse | 2023-05 | 18,193 |
UBS | 2023-05 | 20,462 |
TIAA | 2023-05 | 23,857 |
OmnicomGroup | 2023-05 | 37,320 |
Bristol-Myers Squibb | 2023-05 | 37,497 |
3M | 2023-05 | 48,630 |
Schwab | 2023-05 | 49,356 |
Leidos | 2023-05 | 52,610 |
Canada Post | 2023-05 | 69,860 |
Amazon | 2023-05 | 2,861,111 |
Delta | 2023-05 | 57,317 |
Applied Materials | 2023-05 | 53,170 |
Cardinal Health | 2023-05 | 407,437 |
US Bank | 2023-05 | 114,076 |
fmr.com | 2023-05 | 124,464 |
HSBC | 2023-05 | 280,693 |
MetLife | 2023-05 | 585,130 |
Les attaques de vol de données MOVEit
Le gang de ransomwares Clop était à l’origine d’une vague d’attaques de vol de données à partir du 27 mai 2023. Bien que l’auteur de la menace ait déclaré que les données avaient été collectées auprès de diverses sources, la date du 30 mai 2023 coïncide avec les attaques de vol de données MOVEit survenues pendant les longues vacances du Memorial Day aux États-Unis.
Les données divulguées pour chacune des vingt-cinq entreprises sont similaires, on pense donc que les données ont été volées à un seul fournisseur lors de ces attaques et ont maintenant été publiées sous forme d’ensembles de données distincts pour les clients concernés.
Les attaques de vol de données ont exploité une faille de sécurité zero-day dans la plateforme de transfert de fichiers sécurisé MOVEit Transfer, une solution de transfert de fichiers géré (MFT) utilisée dans les environnements d’entreprise pour transférer en toute sécurité des fichiers entre partenaires commerciaux et clients.
Le gang de la cybercriminalité a commencé à extorquer des victimes en juin 2023, exposant leurs noms sur le site de fuite du Dark Web du groupe.
Les retombées de ces attaques ont touché des centaines d’organisations dans le monde entier, des dizaines de millions de personnes ayant vu leurs données volées et utilisées dans des stratagèmes d’extorsion ou divulguées en ligne depuis lors
Plusieurs agences fédérales américaines et deux entités du Département américain de l’Énergie (DOE) ont également été ciblées et piratées lors de ces attaques