Amazon ha confirmado una violación de datos que involucra información de los empleados después de que los datos supuestamente robados en los ataques MOVEit de mayo de 2023 se filtraran a un foro de piratería.
El actor de amenazas detrás de esta filtración de datos, conocido como Nam3L3ss, publicó más de 2,8 millones de filas de datos de empleados de Amazon, incluidos nombres, información de contacto, edificios de ubicación, direcciones de correo electrónico, etc.
El portavoz de Amazon, Adam Montgomery, confirmó las afirmaciones de Nam3L3ss y agregó que estos datos fueron robados de sistemas que pertenecen a un proveedor de servicios externo.
“Los sistemas de Amazon y AWS permanecen seguros y no hemos experimentado ningún evento de seguridad. Se nos informó de un evento de seguridad en uno de nuestros proveedores de administración de propiedades que afectó a varios de sus clientes, incluido Amazon”, dijo Montgomery.
“La única información de Amazon involucrada fue la información de contacto comercial de los empleados, como direcciones de correo electrónico del trabajo, números de teléfono de la oficina y ubicaciones de los edificios”.
La compañía dijo que el proveedor pirateado solo tenía acceso a la información de contacto de los empleados y que los atacantes no accedieron ni robaron información confidencial de los empleados, como números de Seguro Social, identificaciones gubernamentales o información financiera. Amazon agregó que desde entonces el proveedor ha parcheado la vulnerabilidad de seguridad utilizada en el ataque.
Nam3L3ss también filtró datos de otras veinticinco empresas. Sin embargo, afirman que algunos datos se obtuvieron de otras fuentes, incluidos sitios de filtración de bandas de rescate y AWS y Azure Buckers expuestos.
“Descargo bases de datos completas de fuentes web expuestas, incluidas MySQL, Postgres, bases de datos y copias de seguridad de SQL Server, bases de datos y copias de seguridad de Azure, etc., y luego las convierto a CSV u otro formato”, dijeron.
“NO me pidas acceso a mi almacenamiento, etc. Actualmente tengo más de 250 TB de archivos de bases de datos archivados, etc.”
La lista de empresas cuyos datos fueron robados en los ataques de MOVEit o recopilados de recursos expuestos en Internet y que ahora se ha filtrado en el foro de hacking incluye a Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s y Metlife, entre otras ( como se muestra en la siguiente tabla).
BleepingComputer se ha puesto en contacto con varias empresas y actualizará este artículo cuando haya información adicional disponible.
| Negocio | fecha de vuelo | Número de empleados |
| lenovo | 2023-05 | 45.522 |
| McDonald’s | 2023-05 | 3.295 |
| caballos de fuerza | 2023-05 | 104 119 |
| Banco Nacional de la Ciudad | 2023-05 | 9.358 |
| BT | 2023-05 | 15.347 |
| dsm-firmenich | 2023-05 | 13.248 |
| Universidad Rush | 2023-05 | 15.853 |
| URBANO | 2023-05 | 17.553 |
| Westinghouse | 2023-05 | 18,193 |
| USB | 2023-05 | 20.462 |
| TIAA | 2023-05 | 23.857 |
| Grupo Omnicom | 2023-05 | 37.320 |
| Bristol-Myers Squibb | 2023-05 | 37.497 |
| 3M | 2023-05 | 48.630 |
| Schwab | 2023-05 | 49.356 |
| Leidos | 2023-05 | 52.610 |
| Correo de Canadá | 2023-05 | 69.860 |
| Amazonas | 2023-05 | 2.861.111 |
| Delta | 2023-05 | 57.317 |
| Materiales aplicados | 2023-05 | 53.170 |
| Salud Cardenal | 2023-05 | 407 437 |
| banco americano | 2023-05 | 114.076 |
| fmr.com | 2023-05 | 124.464 |
| HSBC | 2023-05 | 280.693 |
| MetLife | 2023-05 | 585 130 |
Ataques de robo de datos de MOVEit
La banda de ransomware Clop estuvo detrás de una ola de ataques de robo de datos que comenzó el 27 de mayo de 2023. Aunque el actor de amenazas afirmó que los datos fueron recopilados de varias fuentes, la fecha del 30 de mayo de 2023 coincide con los ataques de robo de datos de MOVEit que ocurrieron. durante el largo feriado del Memorial Day en los Estados Unidos.
Los datos filtrados para cada una de las veinticinco empresas son similares, por lo que se cree que los datos fueron robados de un único proveedor durante estos ataques y ahora se han publicado como conjuntos de datos separados para los clientes afectados.
Los ataques de robo de datos explotaron una falla de seguridad de día cero en la plataforma segura de transferencia de archivos MOVEit Transfer, una solución de transferencia administrada de archivos (MFT) utilizada en entornos empresariales para transferir archivos de forma segura entre socios comerciales y clientes.
La banda de ciberdelincuentes comenzó a extorsionar a las víctimas en junio de 2023, revelando sus nombres en el sitio de filtración de la web oscura del grupo.
Las consecuencias de estos ataques afectaron a cientos de organizaciones en todo el mundo, y desde entonces se han robado los datos de decenas de millones de personas y se los ha utilizado en esquemas de extorsión o se han filtrado en línea.
Varias agencias federales de EE. UU. Y dos entidades del Departamento de Energía de los Estados Unidos (DOE) También fueron atacadas y violadas durante estos ataques.