Amazon hat bestätigt, dass Mitarbeiterdaten nach einem „Sicherheitsvorfall“ bei einem Drittanbieter kompromittiert wurden.
In einer Erklärung gegenüber Tech am Montag bestätigte Amazon-Sprecher Adam Montgomery, dass Mitarbeiterinformationen in einen Datenverstoß verwickelt waren.
„Amazon- und AWS-Systeme bleiben sicher und wir haben kein Sicherheitsereignis erlebt. Wir wurden über einen Sicherheitsvorfall bei einem unserer Immobilienverwaltungsanbieter informiert, der mehrere seiner Kunden, darunter Amazon, betraf. Die einzigen beteiligten Amazon-Informationen waren geschäftliche Kontaktinformationen der Mitarbeiter, zum Beispiel geschäftliche E-Mail-Adressen, Festnetztelefonnummern und Gebäudestandorte“, sagte Montgomery.
Amazon wollte nicht sagen, wie viele Mitarbeiter von dem Verstoß betroffen waren. Es stellte fest, dass der namentlich nicht genannte Drittanbieter keinen Zugriff auf sensible Daten wie Sozialversicherungsnummern oder Finanzinformationen habe, und sagte, der Anbieter habe die Sicherheitslücke behoben, die für die Datenpanne verantwortlich sei.
Die Bestätigung erfolgt, nachdem ein Bedrohungsakteur behauptet hat, von Amazon gestohlene Daten auf der berüchtigten Hacking-Site BreachForums veröffentlicht zu haben. Die Person behauptet, über mehr als 2,8 Millionen Datenzeilen zu verfügen, die ihrer Aussage nach im Rahmen der Massenausbeutung von MOVEit Transfer im letzten Jahr gestohlen wurden.
Der unter dem Pseudonym „Nam3L3ss“ agierende Bedrohungsakteur gibt an, Daten veröffentlicht zu haben, die angeblich von 25 großen Organisationen, dem Cybersicherheitsunternehmen Hudson Rock, gestohlen wurden Berichte.
„Was Sie bisher gesehen haben, sind weniger als 0,001 % der Daten, die ich habe“, behauptet der Bedrohungsakteur. „Ich habe 1.000 Veröffentlichungen vor mir, die noch nie zuvor gesehen wurden.“
Tech hat die anderen vom Bedrohungsakteur aufgeführten Organisationen kontaktiert, aber noch keine weiteren Antworten erhalten.
Der MOVEit-Verstoß, bei dem Angreifer eine Zero-Day-Schwachstelle in der Dateiübertragungssoftware von Progress Software ausnutzten, war der größte Hack des Jahres 2023.
Diese Hacks, die von der berüchtigten Ransomware- und Erpresserbande Clop behauptet wurden, betrafen mehr als 1.000 Organisationen, darunter das Verkehrsministerium von Oregon (3,5 Millionen gestohlene Datensätze), das Ministerium für Gesundheitspolitik und Finanzierung von Colorado (vier Millionen) und die US-Regierung Dienstleistungsvertragsriese Maximus (11 Millionen).