Amazon bestätigte, dass Mitarbeiterdaten nach einem „Sicherheitsvorfall“ bei einem Drittanbieter kompromittiert wurden.
In einer Erklärung gegenüber TechCrunch am Montag bestätigte Amazon-Sprecher Adam Montgomery, dass Mitarbeiterinformationen in den Datenverstoß verwickelt waren.
„Amazon- und AWS-Systeme bleiben sicher und wir haben keine Sicherheitsvorfälle erlebt. Wir wurden über einen Sicherheitsvorfall bei einem unserer Immobilienverwaltungsanbieter informiert, der mehrere seiner Kunden, darunter auch Amazon, betraf. Die einzigen beteiligten Amazon-Informationen waren die beruflichen Kontaktinformationen der Mitarbeiter, zum Beispiel geschäftliche E-Mail-Adressen, Festnetztelefonnummern und Gebäudestandorte“, sagte Montgomery.
Amazon wollte nicht sagen, wie viele Mitarbeiter von dem Verstoß betroffen waren. Es stellte fest, dass der namentlich nicht genannte Drittanbieter keinen Zugriff auf sensible Daten wie Sozialversicherungsnummern oder Finanzinformationen habe, und sagte, der Anbieter habe die Sicherheitslücke geschlossen, die für die Datenpanne verantwortlich sei.
Die Bestätigung erfolgt, nachdem ein Bedrohungsakteur behauptet hat, gestohlene Amazon-Daten auf der berüchtigten Hacking-Site BreachForums veröffentlicht zu haben. Die Person behauptet, über 2,8 Millionen Datenzeilen zu besitzen, die seiner Aussage nach im vergangenen Jahr gestohlen wurden MOVEit Transfer Massenausbeutung.
Der unter dem Pseudonym „Nam3L3ss“ agierende Bedrohungsakteur behauptet, angeblich gestohlene Daten von 25 großen Organisationen, dem Cybersicherheitsunternehmen Hudson Rock, veröffentlicht zu haben Berichte.
„Was Sie bisher gesehen haben, sind weniger als 0,001 % der Daten, die ich habe“, sagt der Bedrohungsakteur. „Ich habe 1.000 Veröffentlichungen, die ich noch nie zuvor gesehen habe.“
TechCrunch hat sich an andere vom Bedrohungsakteur aufgeführte Organisationen gewandt, aber noch keine weiteren Antworten erhalten.
Der MOVEit-Verstoß, bei dem Angreifer eine Zero-Day-Schwachstelle in der Dateiübertragungssoftware von Progress Software ausnutzten, war der größte Hack des Jahres 2023.
Diese Hacks, die von der berüchtigten Ransomware- und Erpresserbande Clop behauptet werden, betrafen mehr als 1.000 Organisationen, darunter das Verkehrsministerium von Oregon (3,5 Millionen Datensätze gestohlen), Colorado Ministerium für Gesundheitspolitik und -finanzierung (vier Millionen) und Der riesige US-amerikanische Regierungsdienstleister Maximus (11 Millionen).
