Fuga di dati Amazon: oltre 2,8 milioni di record dei dipendenti su BreachForums!

Redazione RHC : 12 Novembre 2024 08:07

Possiamo dire che “anche i grandi piangono”, e sicuramente questo incidente di Amazon ci deve far comprendere quanto oggi le aziende di terze parti possono essere il “tallone di achille” di una postura cyber corretta all’interno delle mura della propria azienda.

La recente fuga di dati dei dipendenti divulgata attraverso un post su Breach Forums da un threat actors del colosso dell’e-commerce Amazon ha sollevato importanti preoccupazioni sulla sicurezza delle informazioni all’interno delle grandi aziende e sull’impatto dei fornitori terzi nelle loro vulnerabilità.

Secondo quanto riportato, oltre 2,8 milioni di record contenenti dati dei dipendenti Amazon sono stati esposti nelle underground. L’attore della minaccia, conosciuto come “Nam3L3ss“, ha condiviso i dettagli dei dati sottratti, che includono indirizzi e-mail aziendali, numeri di telefono fissi e altre informazioni legate al lavoro. Questo attacco evidenzia la fragilità delle catene di approvvigionamento digitali, dove un singolo punto di accesso compromesso può mettere a rischio una quantità considerevole di dati sensibili.

Il colosso dell’e-commerce Amazon ha confermato che alcuni dati dei suoi dipendenti sono stati compromessi a causa di una violazione della sicurezza che ha coinvolto un fornitore di terze parti. Secondo Amazon, la violazione ha interessato le informazioni di contatto relative al lavoro, tra cui indirizzi e-mail dei dipendenti, numeri di telefono fissi e sedi degli edifici.

Il post su Breach Forums

Il numero esatto dei dipendenti interessati dall’ultima violazione della sicurezza non è stato reso noto da Amazon, anche se da quanto riportato sul post su Breach Forums si parla di 2.861.111 record di dati appartenenti ad Amazon.

Il record riportato sul post dal criminale informatico è il seguente:

• emplid – ID del dipendente
• last_name – Cognome
• first_name – Nome
• display_name – Nome visualizzato
• empname_lastfirst – Nome completo (Cognome e Nome)
• cost_center_code – Codice del centro di costo
• cost_center_name – Nome del centro di costo
• phone – Numero di telefono
• email – Indirizzo email
• title – Titolo lavorativo
• job_code – Codice del lavoro
• job_description – Descrizione del lavoro
• building_code – Codice dell’edificio
• building_descr – Descrizione dell’edificio
• room_id – ID della stanza
• city – Città
• state – Stato
• country_location – Paese di ubicazione
• Status – Stato (assunto, attivo, ecc.)
• empl_hire_date – Data di assunzione
• jobcode_level – Livello del codice lavoro
• job_family – Famiglia di lavoro
• default_domain – Dominio predefinito
• default_domainuser – Utente di dominio predefinito
• user_id – ID utente
• az_virtual_off – Ufficio virtuale
• location – Ubicazione
• location_link – Collegamento alla posizione
• supervisor_id – ID del supervisore
• supervisor_name – Nome del supervisore
• gref_orggroup_id – ID del gruppo organizzativo GREF
• manager_id – ID del manager
• manager_name – Nome del manager
• reg_temp_az_safety_czar – Responsabile sicurezza temporaneo per AZ
• empl_rcd – Record del dipendente
• az_group_code – Codice del gruppo AZ
• az_company_descr – Descrizione della compagnia AZ
• per_org_az_empl_class_descr – Descrizione della classe del dipendente nell’organizzazione AZ
• export_userlogin – Login dell’utente per esportazione

Per ora, l’attore della minaccia noto come “Nam3L3ss” ha rivendicato la responsabilità della fuga di dati di Amazon su Breach Forums, un popolare forum di hacking. Nam3L3ss non è un nuovo arrivato nella comunità globale della criminalità informatica ed è noto per l’estrazione di dati dalle organizzazioni tramite incidenti ransomware o accesso non autorizzato a database esposti.

A complicare ulteriormente la situazione, Nam3L3ss ha dichiarato che i dati trapelati rappresentano solo una frazione delle informazioni raccolte e che è riuscito a estrarre interi database da fonti esposte.

I Dati delle aziende non sono solo di Amazon

I ricercatori di Bleeping Computer hanno riportato che non si tratta di dipendenti solo di Amazon. L’elenco delle aziende i cui dati sono stati rubati durante gli attacchi MOVEit o raccolti da risorse esposte su Internet e ora trapelato sul forum degli hacker include Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s e Metlife, tra le altre (come mostrato nella tabella seguente).

Il bug CVE-2023-34362 sfruttato nell’attacco

L’incidente sembra essere collegato alla vulnerabilità CVE-2023-34362, un difetto critico nel software di trasferimento file di Progress Software, sfruttato per la prima volta nel maggio 2023. Questa falla ha consentito ai cybercriminali di eseguire attacchi alla supply chain che hanno colpito oltre 1.000 organizzazioni a livello globale, tra cui Amazon. La gang ransomware Clop è stata tra i primi gruppi a sfruttare questa vulnerabilità, e le sue attività mirate continuano a colpire aziende e istituzioni pubbliche. L’attacco mette in luce come le vulnerabilità nei servizi di terzi possano compromettere seriamente anche i sistemi delle aziende più protette, che si affidano a fornitori esterni per esigenze operative specifiche.

Nel 2023, l’expploit collegato al difetto di MOVEit, ha consentito agli autori della minaccia di aggirare i protocolli di autenticazione di bypass tramite un difetto di iniezione SQL, potenzialmente concedendo un accesso non autorizzato ai database MOVEit Transfer. MOVEit Transfer è ampiamente utilizzato da agenzie governative e aziende private in tutto il mondo.

Questa fuga di dati apre la strada a potenziali attacchi di phishing e altre minacce cyber, mettendo a rischio la sicurezza di milioni di dipendenti. L’incidente rappresenta un avvertimento per tutte le aziende che devono garantire non solo la protezione dei loro sistemi interni, ma anche un rigoroso monitoraggio e controllo delle pratiche di sicurezza dei loro partner e fornitori.

La risposta di Amazon

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fisso e ubicazioni degli edifici”, ha commentato sulla questione Adam Montgomery, portavoce dell’azienda.

Nessun dato personale sensibile, come numeri di previdenza sociale o informazioni finanziarie, è stato esposto nell’ultima violazione della sicurezza, poiché le informazioni non sono mai state accessibili al fornitore terzo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli