تؤكد أمازون سرقة بيانات الموظفين بعد أن ادعى أحد المتسللين خرق MOVEit

أكدت أمازون أن بيانات الموظفين قد تعرضت للاختراق بعد “حدث أمني” لدى بائع خارجي.

في بيان تم تقديمه لموقع TechCrunch يوم الاثنين، أكد المتحدث باسم أمازون، آدم مونتغمري، أن معلومات الموظف كانت متورطة في خرق البيانات.

“تظل أنظمة Amazon وAWS آمنة، ولم نشهد أي حدث أمني. لقد تم إخطارنا بشأن حدث أمني في أحد موردي إدارة الممتلكات لدينا والذي أثر على العديد من عملائه بما في ذلك أمازون. وقال مونتغمري: “معلومات أمازون الوحيدة المعنية هي معلومات الاتصال الخاصة بعمل الموظفين، على سبيل المثال عناوين البريد الإلكتروني للعمل وأرقام هواتف المكتب ومواقع البناء”.

ورفضت أمازون تحديد عدد الموظفين الذين تأثروا بالانتهاك. وأشار إلى أن البائع الخارجي الذي لم يذكر اسمه لا يمكنه الوصول إلى البيانات الحساسة مثل أرقام الضمان الاجتماعي أو المعلومات المالية، وقال إن البائع أصلح الثغرة الأمنية المسؤولة عن خرق البيانات.

ويأتي هذا التأكيد بعد أن ادعى ممثل التهديد أنه نشر بيانات مسروقة من أمازون على موقع القرصنة سيئ السمعة BreachForums. يدعي هذا الشخص أن لديه أكثر من 2.8 مليون سطر من البيانات، والتي يقولون إنها سُرقت خلال الاستغلال الشامل لبرنامج MOVEit Transfer العام الماضي.

يدعي ممثل التهديد، الذي يعمل تحت الاسم المستعار “Nam3L3ss”، أنه نشر بيانات يُزعم أنها سُرقت من 25 منظمة كبرى، حسبما أفادت شركة الأمن السيبراني هدسون روك.

يزعم ممثل التهديد أن “ما رأيته حتى الآن هو أقل من 0.001% من البيانات المتوفرة لدي”. “لدي 1000 إصدار لم يسبق لهم مثيل من قبل.”

اتصلت TechCrunch بالمنظمات الأخرى المدرجة من قبل جهة التهديد ولكنها لم تتلق أي ردود أخرى بعد.

كان اختراق MOVEit، الذي شهد استغلال المهاجمين لثغرة يوم الصفر في برنامج نقل الملفات التابع لشركة Progress Software، أكبر اختراق في عام 2023.

أثرت هذه الاختراقات، التي تبنتها عصابة Clop لبرامج الفدية والابتزاز سيئة السمعة، على أكثر من 1000 منظمة، بما في ذلك وزارة النقل في ولاية أوريغون (تمت سرقة 3.5 مليون سجل)، ووزارة سياسة وتمويل الرعاية الصحية في كولورادو (أربعة ملايين) والحكومة الأمريكية. عملاق مقاولات الخدمات مكسيموس (11 مليونا).