Новые последствия взлома MOVEit: у Amazon произошла утечка данных сотрудников

На хакерском форуме опубликована новая информация, судя по всему, похищенная во время атак на MOVEit Transfer в 2023 году. Компания Amazon уже подтвердила, что данные подлинные, и произошла утечка информации о сотрудниках.

Вчера исследователи из ИБ-компании Hudson Rock предупредили, что человек под ником Nam3L3ss опубликовал на хак-форуме Breached более 2,8 млн строк данных о сотрудниках Amazon, включая имена, контактную информацию, данные о месте работы, адреса электронной почты и так далее. По его словам, данные были похищены через взлом решения MOVEit Transfer компании Progress Software.

Напомним, что MOVEit Transfer представляет собой продукт для управления передачей файлов, которое широко применяется в корпоративных средах для безопасной передачи файлов между бизнес-партнерами и клиентами по протоколам SFTP, SCP и HTTP.

Вскоре после этой публикации Nam3L3ss представители Amazon сообщили СМИ, что у компании действительно произошла утечка, но ее допустил некий сторонний поставщик услуг.

«Системы Amazon и AWS по-прежнему надежно защищены, и мы не сталкивались с нарушениями безопасности. Нас уведомили об инциденте, произошедшем у одного из наших поставщиков по управлению недвижимостью, который затронул ряд его клиентов, включая Amazon. Единственной [пострадавшей] информацией Amazon были контактные данные сотрудников, например, рабочие адреса электронной почты, номера рабочих телефонов и местоположение зданий».

В компании подчеркивают, что взломанный поставщик имел доступ только к контактной информации, и злоумышленники тоже не имели доступа к каким-либо конфиденциальным данным (например, номерам социального страхования, удостоверениям личности и финансовой информации). В Amazon добавили, что пострадавшая компания уже исправила уязвимость, которой воспользовались хакеры.

Однако помимо данных сотрудников Amazon Nam3L3ss опубликовал информацию 25 других компаний. По словам хакера, часть этой информации была получена из сторонних источников, в том числе из незащищенных бакетов AWS и Azure, а также с сайтов вымогательских группировок.

Пост Nam3L3ss. Фото: Bleeping Computer

«Я скачиваю целые базы данных из открытых источников, включая mysql, postgres, БД и бэкапы SQL Server, Azure и так далее, а затем конвертирую их в csv или другой формат, — пишет злоумышленник. — НЕ просите у меня доступ к моим хранилищам и так далее, в настоящее время у меня более 250 ТБ архивных файлов БД и прочего».

Список компаний, данные сотрудников которых якобы были похищены в ходе атак на MOVEit Transfer или собраны из открытых источников, а теперь обнародованы на хакерском форуме, включает: Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald's, Metlife и так далее. Детальный список доступен ниже.

КомпанияДата взломаКоличество сотрудников
Lenovo2023-0545 522
McDonald's2023-053295
HP2023-05104 119
City National Bank2023-059358
BT2023-0515 347
dsm-firmenich2023-0513 248
Rush University2023-0515 853
URBN2023-0517 553
Westinghouse2023-0518 193
UBS2023-0520 462
TIAA2023-0523 857
OmnicomGroup2023-0537 320
Bristol-Myers Squibb2023-0537 497
3M2023-0548 630
Schwab2023-0549 356
Leidos2023-0552 610
Canada Post2023-0569 860
Amazon2023-052 861 111
Delta2023-0557 317
Applied Materials2023-0553 170
Cardinal Health2023-05407 437
US Bank2023-05114 076
fmr.com2023-05124 464
HSBC2023-05280 693
MetLife2023-05585 130

Напомним, что в 2023 году множество компаний пострадали от атак на уязвимость нулевого дня в MOVEit Transfer (CVE-2023-34362). Тогда группировка Clop начала вымогать деньги у пострадавших компаний, среди которых были такие гиганты, как Sony, IBM, Siemens Energy, Schneider Electric, British Airways, а также сот­ни обра­зова­тель­ных учрежде­ний. В итоге жертвами этих атак и последующих утечек стали око­ло 85 млн человек.

Судя по всему, часть опубликованных теперь Nam3L3ss данных относится к тому же временному периоду, то есть информация была похищена у одной из компаний-жертв еще весной 2023 года, но только теперь попала в открытый доступ.

Представители Progress Software подтвердили изданию 404 Media, что уязвимость CVE-2023–34362, о которой пишут специалисты Hudson Rock, — это уже хорошо известная прошлогодняя проблема нулевого дня, связанная с MOVEit Transfer.

«Мы не видим здесь ничего нового и не имеем никаких дальнейших комментариев», — заявили разработчики.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Правилах сервиса
Анализ
×
Amazon.com, Inc.
Сфера деятельности:Розничная торговля
149
IBM
Организации
81
Westinghouse Electric
Сфера деятельности:Связь и ИТ
3
HP Inc.
Сфера деятельности:Производство машин, оборудования и транспортных средств
40
McDonald’s
Сфера деятельности:Производство продуктов питания
12
Big Data
Технологии
50