Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fuga di dati Amazon: oltre 2,8 milioni di record dei dipendenti su BreachForums!

Redazione RHC : 12 Novembre 2024 08:07

Possiamo dire che “anche i grandi piangono”, e sicuramente questo incidente di Amazon ci deve far comprendere quanto oggi le aziende di terze parti possono essere il “tallone di achille” di una postura cyber corretta all’interno delle mura della propria azienda.

La recente fuga di dati dei dipendenti divulgata attraverso un post su Breach Forums da un threat actors del colosso dell’e-commerce Amazon ha sollevato importanti preoccupazioni sulla sicurezza delle informazioni all’interno delle grandi aziende e sull’impatto dei fornitori terzi nelle loro vulnerabilità.

Secondo quanto riportato, oltre 2,8 milioni di record contenenti dati dei dipendenti Amazon sono stati esposti nelle underground. L’attore della minaccia, conosciuto come “Nam3L3ss“, ha condiviso i dettagli dei dati sottratti, che includono indirizzi e-mail aziendali, numeri di telefono fissi e altre informazioni legate al lavoro. Questo attacco evidenzia la fragilità delle catene di approvvigionamento digitali, dove un singolo punto di accesso compromesso può mettere a rischio una quantità considerevole di dati sensibili.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Il colosso dell’e-commerce Amazon ha confermato che alcuni dati dei suoi dipendenti sono stati compromessi a causa di una violazione della sicurezza che ha coinvolto un fornitore di terze parti. Secondo Amazon, la violazione ha interessato le informazioni di contatto relative al lavoro, tra cui indirizzi e-mail dei dipendenti, numeri di telefono fissi e sedi degli edifici.

Il post su Breach Forums

Il numero esatto dei dipendenti interessati dall’ultima violazione della sicurezza non è stato reso noto da Amazon, anche se da quanto riportato sul post su Breach Forums si parla di 2.861.111 record di dati appartenenti ad Amazon.

Il record riportato sul post dal criminale informatico è il seguente:

  • emplid – ID del dipendente
  • last_name – Cognome
  • first_name – Nome
  • display_name – Nome visualizzato
  • empname_lastfirst – Nome completo (Cognome e Nome)
  • cost_center_code – Codice del centro di costo
  • cost_center_name – Nome del centro di costo
  • phone – Numero di telefono
  • email – Indirizzo email
  • title – Titolo lavorativo
  • job_code – Codice del lavoro
  • job_description – Descrizione del lavoro
  • building_code – Codice dell’edificio
  • building_descr – Descrizione dell’edificio
  • room_id – ID della stanza
  • city – Città
  • state – Stato
  • country_location – Paese di ubicazione
  • Status – Stato (assunto, attivo, ecc.)
  • empl_hire_date – Data di assunzione
  • jobcode_level – Livello del codice lavoro
  • job_family – Famiglia di lavoro
  • default_domain – Dominio predefinito
  • default_domainuser – Utente di dominio predefinito
  • user_id – ID utente
  • az_virtual_off – Ufficio virtuale
  • location – Ubicazione
  • location_link – Collegamento alla posizione
  • supervisor_id – ID del supervisore
  • supervisor_name – Nome del supervisore
  • gref_orggroup_id – ID del gruppo organizzativo GREF
  • manager_id – ID del manager
  • manager_name – Nome del manager
  • reg_temp_az_safety_czar – Responsabile sicurezza temporaneo per AZ
  • empl_rcd – Record del dipendente
  • az_group_code – Codice del gruppo AZ
  • az_company_descr – Descrizione della compagnia AZ
  • per_org_az_empl_class_descr – Descrizione della classe del dipendente nell’organizzazione AZ
  • export_userlogin – Login dell’utente per esportazione

Per ora, l’attore della minaccia noto come “Nam3L3ss” ha rivendicato la responsabilità della fuga di dati di Amazon su Breach Forums, un popolare forum di hacking. Nam3L3ss non è un nuovo arrivato nella comunità globale della criminalità informatica ed è noto per l’estrazione di dati dalle organizzazioni tramite incidenti ransomware o accesso non autorizzato a database esposti.

A complicare ulteriormente la situazione, Nam3L3ss ha dichiarato che i dati trapelati rappresentano solo una frazione delle informazioni raccolte e che è riuscito a estrarre interi database da fonti esposte.

I Dati delle aziende non sono solo di Amazon

I ricercatori di Bleeping Computer hanno riportato che non si tratta di dipendenti solo di Amazon. L’elenco delle aziende i cui dati sono stati rubati durante gli attacchi MOVEit o raccolti da risorse esposte su Internet e ora trapelato sul forum degli hacker include Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s e Metlife, tra le altre (come mostrato nella tabella seguente).

CompanyDate StolenNumber of Employees
Lenovo2023-0545,522
McDonald’s2023-053,295
HP2023-05104,119
City National Bank2023-059,358
BT2023-0515,347
dsm-firmenich2023-0513,248
Rush University2023-0515,853
URBN2023-0517,553
Westinghouse2023-0518,193
UBS2023-0520,462
TIAA2023-0523,857
OmnicomGroup2023-0537,320
Bristol-Myers Squibb2023-0537,497
3M2023-0548,630
Schwab2023-0549,356
Leidos2023-0552,610
Canada Post2023-0569,860
Amazon2023-052,861,111
Delta2023-0557,317
Applied Materials2023-0553,170
Cardinal Health2023-05407,437
US Bank2023-05114,076
fmr.com2023-05124,464
HSBC2023-05280,693
MetLife2023-05585,130

Il bug CVE-2023-34362 sfruttato nell’attacco

L’incidente sembra essere collegato alla vulnerabilità MOVEit Transfer (CVE-2023-34362), un difetto critico nel software di trasferimento file di Progress Software, sfruttato per la prima volta nel maggio 2023. Questa falla ha consentito ai cybercriminali di eseguire attacchi alla supply chain che hanno colpito oltre 1.000 organizzazioni a livello globale, tra cui Amazon. La gang ransomware Clop è stata tra i primi gruppi a sfruttare questa vulnerabilità, e le sue attività mirate continuano a colpire aziende e istituzioni pubbliche. L’attacco mette in luce come le vulnerabilità nei servizi di terzi possano compromettere seriamente anche i sistemi delle aziende più protette, che si affidano a fornitori esterni per esigenze operative specifiche.

Nel 2023, l’expploit collegato al difetto di MOVEit, ha consentito agli autori della minaccia di aggirare i protocolli di autenticazione di bypass tramite un difetto di iniezione SQL, potenzialmente concedendo un accesso non autorizzato ai database MOVEit Transfer. MOVEit Transfer è ampiamente utilizzato da agenzie governative e aziende private in tutto il mondo.

Questa fuga di dati apre la strada a potenziali attacchi di phishing e altre minacce cyber, mettendo a rischio la sicurezza di milioni di dipendenti. L’incidente rappresenta un avvertimento per tutte le aziende che devono garantire non solo la protezione dei loro sistemi interni, ma anche un rigoroso monitoraggio e controllo delle pratiche di sicurezza dei loro partner e fornitori.

La risposta di Amazon

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fisso e ubicazioni degli edifici”, ha commentato sulla questione Adam Montgomery, portavoce dell’azienda.

Nessun dato personale sensibile, come numeri di previdenza sociale o informazioni finanziarie, è stato esposto nell’ultima violazione della sicurezza, poiché le informazioni non sono mai state accessibili al fornitore terzo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.