Amazon heeft bevestigd dat werknemersgegevens in gevaar zijn gekomen na een “beveiligingsgebeurtenis” bij een externe leverancier.
In een verklaring aan TechCrunch bevestigde Amazon-woordvoerder Adam Montgomery dat werknemersinformatie betrokken was bij een datalek.
“Amazon- en AWS-systemen blijven veilig en we hebben geen beveiligingsgebeurtenis meegemaakt. We werden op de hoogte gebracht van een beveiligingsgebeurtenis bij een van onze leveranciers van vastgoedbeheer die gevolgen had voor verschillende van zijn klanten, waaronder Amazon. De enige Amazon-informatie die daarbij betrokken was, waren de contactgegevens van werknemers, bijvoorbeeld zakelijke e-mailadressen, bureautelefoonnummers en gebouwlocaties”, aldus Montgomery.
Amazon weigerde te zeggen hoeveel werknemers door de inbreuk werden getroffen. Het merkte op dat de naamloze externe leverancier geen toegang heeft tot gevoelige gegevens zoals burgerservicenummers of financiële informatie en zei dat de leverancier het beveiligingsprobleem had verholpen dat verantwoordelijk was voor het datalek.
De bevestiging komt nadat een bedreigingsacteur beweerde gegevens te hebben gepubliceerd die van Amazon waren gestolen op de beruchte hacksite BreachForums. De persoon beweert over meer dan 2,8 miljoen regels gegevens te beschikken, die volgens hen vorig jaar zijn gestolen massale exploitatie van MOVEit Transfer.
De bedreigingsacteur, opererend onder de alias “Nam3L3ss”, beweert gegevens te hebben gepubliceerd die naar verluidt zijn gestolen van 25 grote organisaties, cyberbeveiligingsbedrijf Hudson Rock rapporten.
“Wat je tot nu toe hebt gezien, is minder dan 0,001% van de gegevens die ik heb”, beweert de bedreigingsacteur. “Ik heb duizend releases die nog nooit eerder zijn vertoond.”
TechCrunch heeft contact opgenomen met de andere door de bedreigingsactoren genoemde organisaties, maar heeft nog geen verdere reacties ontvangen.
De MOVEit-inbreuk, waarbij aanvallers misbruik maakten van een zero-day-kwetsbaarheid in de software voor bestandsoverdracht van Progress Software, was de grootste hack van 2023.
Deze hacks, opgeëist door de beruchte ransomware- en afpersingsbende Clop, hadden gevolgen voor ruim duizend organisaties, waaronder het Oregon Department of Transportation (3,5 miljoen records gestolen), het Colorado Department of Healthcare Policy and Financing (vier miljoen) en Amerikaanse overheidsdiensten contracteren gigant Maximus (11 miljoen).
