Amazon ha confirmado que los datos de los empleados se vieron comprometidos después de un «evento de seguridad» en un proveedor externo. En una declaración dada a TechCrunch el lunes, el portavoz de Amazon, Adam Montgomery, confirmó que la información de los empleados estaba involucrada en una brecha de datos.
«Los sistemas de Amazon y AWS siguen siendo seguros, y no hemos experimentado un evento de seguridad. Nos notificaron sobre un evento de seguridad en uno de nuestros proveedores de administración de propiedades que afectó a varios de sus clientes, incluido Amazon. La única información de Amazon involucrada fue la información de contacto laboral de los empleados, por ejemplo, direcciones de correo electrónico laborales, números de teléfono de escritorio y ubicaciones de edificios», dijo Montgomery.
Amazon se negó a decir cuántos empleados se vieron afectados por la violación. Señaló que el proveedor externo no tiene acceso a datos sensibles como números de Seguro Social o información financiera, y dijo que el proveedor había solucionado la vulnerabilidad de seguridad responsable de la brecha de datos.
La confirmación llega después de que un actor amenazante afirmara haber publicado datos robados de Amazon en el notorio sitio de piratería BreachForums. El individuo afirma tener más de 2.8 millones de líneas de datos, que según ellos fueron robados durante la explotación masiva de MOVEit Transfer del año pasado.
El actor amenazante, que opera bajo el alias «Nam3L3ss», afirma haber publicado datos presuntamente robados de 25 organizaciones importantes, informa la firma de ciberseguridad Hudson Rock.
«Lo que has visto hasta ahora es menos del 0.001% de los datos que tengo», afirma el actor amenazante. «Tengo 1,000 lanzamientos nunca antes vistos que están por llegar».
TechCrunch ha contactado a las otras organizaciones mencionadas por el actor amenazante, pero aún no ha recibido más respuestas. La brecha de MOVEit, en la que los atacantes explotaron una vulnerabilidad de día cero en el software de transferencia de archivos de Progress Software, fue el hack más grande de 2023.
Estos hacks, que fueron reclamados por la notoria banda de ransomware y extorsión Clop, afectaron a más de 1,000 organizaciones, incluyendo el Departamento de Transporte de Oregón (3.5 millones de registros robados), el Departamento de Financiamiento de la Atención Médica de Colorado (cuatro millones) y la gigante de servicios de contratación del gobierno de EE. UU., Maximus (11 millones).
En resumen, la confirmación de la violación de datos de empleados de Amazon debido a un evento de seguridad en un proveedor externo resalta la importancia de proteger la información confidencial y de mantener la seguridad cibernética en un entorno cada vez más vulnerable a ataques. Es crucial que las empresas continúen implementando medidas sólidas de seguridad para prevenir futuras brechas de datos y proteger la privacidad de sus empleados y clientes.
