Niemal 3 miliony rekordów danych pracowników – m.in. ich adresy mailowe i numery telefonów – wyciekły na skutek incydentu związanego z luką w zabezpieczeniach oprogramowania MOVEit, która została odkryta w zeszłym roku.
Amazon potwierdził, że dane jego pracowników zostały ujawnione w wyniku naruszenia bezpieczeństwa informacji, związanego z luką w zabezpieczeniach MOVEit (CVE-2023-34362). Do naruszenia doszło po stronie dostawcy usług zarządzania nieruchomościami, co miało wpływ na klientów tej firmy, w tym Amazon. Dane, które wyciekły w efekcie tego zdarzenia, to adresy e-mail pracowników, ich numery telefonów i lokalizacje budynków.
Amazon nie jest jedyną firmą, która została poszkodowana w wyniku wycieku (w sumie jest ich 25), ale w jego przypadku skala jest największa i obejmuje ponad 2,86 miliona z ponad 5 mln rekordów dotkniętych naruszeniem bezpieczeństwa informacji.
– Wyciek danych dotyczący Amazona pokazuje, że łańcuchy dostaw są nieustannie narażone na zagrożenia, jakimi są zarówno nowe, jak i znane luki w zabezpieczeniach. Potwierdza to także krytyczną potrzebę ulepszania procesów zarządzania ryzykiem. Mimo że pierwotna luka w zabezpieczeniach oprogramowania MOVEit została zlokalizowana i załatana już w zeszłym roku, organizacje nadal doświadczają problemów z nią związanych, gdyż jak pokazuje ten atak, nie wszystkie wprowadziły odpowiednie aktualizacje. Incydent ten powinien również stanowić przypomnienie, że nawet duże firmy technologiczne z zaawansowanymi środkami bezpieczeństwa są nadal podatne na luki w zabezpieczeniach u swoich poddostawców. Tym bardziej należy zachować czujność i, jeśli to możliwe, weryfikować, czy nasi kontrahenci stosują odpowiednie procedury bezpieczeństwa (np. aktualizacje) – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
(AM, źródło: Linkleaders)