Amazon ha comunicato una violazione dei dati che ha esposto le informazioni dei dipendenti, presumibilmente rubate durante gli attacchi MOVEit del maggio 2023. La fuga di dati è avvenuta tramite un fornitore terzo e riguarda oltre 2,8 milioni di record contenenti dati dei dipendenti dell'azienda.
La violazione ha compromesso informazioni come nomi, contatti, sedi degli uffici ed email aziendali, ma non numeri di previdenza sociale o dati finanziari. Amazon non ha specificato il numero esatto di dipendenti coinvolti.
Un portavoce di Amazon ha dichiarato:
"I sistemi di Amazon e AWS rimangono sicuri e non abbiamo subito alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha interessato diversi dei suoi clienti, tra cui Amazon."
I ricercatori di Hudson Rock hanno riferito che l'hacker "Nam3L3ss" ha anche affermato di aver violato i dati di altre 25 importanti organizzazioni. Non è ancora chiaro se i dati provengano dal gruppo ransomware CL0P, noto per aver sfruttato MOVEit in passato, o se Nam3L3ss abbia agito autonomamente.
La violazione dei dati di Amazon, avvenuta attraverso un fornitore terzo, evidenzia un trend crescente: gli attacchi alla supply chain. Questo tipo di attacco, sfruttando le vulnerabilità dei partner commerciali, rappresenta una sfida particolare per le grandi aziende che dipendono da una vasta rete di fornitori.
Questo incidente sottolinea, quindi, ancora una volta i rischi legati alla sicurezza della catena di approvvigionamento e l'importanza di proteggere adeguatamente i dati sensibili, anche quando affidati a fornitori esterni. Quello che le aziende - soprattutto i colossi come Amazon - dovrebbero fare è rafforzare le misure di sicurezza e monitorare attentamente l'accesso di terze parti ai propri sistemi per prevenire simili violazioni in futuro.