图片来源:
Amazon
网路电商及平台大厂Amazon本周坦承,受使用的MOVEit服务漏洞事件波及,使公司员工资料外泄。
Amazon是回应上周骇客论坛一名为Nam3L3ss的人士,宣称取得该公司资料的消息。这名人士公布包含Amazon的20多家知名企业的资料作为样本,意在出售更大批的资料。Amazon遭公布的280万行资料是来自它使用的MOVEit,后者在2023年5月,遭大规模骇客入侵事件。
Amazon本周稍早对媒体证实此事。该公司声称获报,其一家物产管理厂商的「资安事件」影响其客户,包括Amazon。唯一外泄的公司资讯是员工联络资讯,像是公司电子邮件、桌机电话和大楼地址。这家电商龙头强调,Amazon和AWS的系统都没有被骇,外流的资料是从外部厂商系统流出,此外,Amazon说这「第三方厂商」并不能存取更为敏感的个资,像是社会安全号码或财务资讯。
档案传输平台MOVEit的漏洞,在2023年5月遭Cl0p勒索软体组织大规模滥用,是去年的资安大事。多个使用MOVEit的美国政府机关,及二个能源部下属单位都成了受害者。
连同Amazon被公布资料的组织,还包括联想、HP、麦当劳、汇丰银行和达美航空等知名企业。骇客宣称取得了250TB的资料,不过其来源还包含其他资料库如MySQL、SQL Server、Azure或Amazon bucket,而非MOVEit。