Des données d’employés d’Amazon ont fuité

La marque à la flèche a confirmé que des données personnelles d’employés ont été volées à la suite d'une cyberattaque ayant ciblé l'un de ses fournisseurs. Le(s) cybercriminel(s) ont exploité une vulnérabilité critique découverte en 2023 dans l'outil de transfert de fichiers MOVEit. Explications.

Encore une attaque contre la chaîne d’approvisionnement. Le géant Amazon a confirmé une violation de données via l’outil MOVEit, utilisé par un de ses fournisseurs de gestion immobilière. Les données concernées comprennent, entre autres, les noms, prénoms, titres, adresses e-mail, numéros de téléphone d'employées, ainsi que les coordonnées des bâtiments où ils travaillent.

Hudson Rock, une société de cybersécurité, a identifié sur un forum de fuite de données un acteur malveillant nommé Nam3L3ss, qui revendique le vol de plusieurs millions de lignes de données du groupe. Dans un message, il incite les grandes entreprises à « prendre conscience » de l’ampleur des fuites, tout en rendant les données accessibles aux cybercriminels.

Amazon confirme

Les informations volées pourraient être utilisées pour des attaques de phishing, d'usurpation d’identité et d'ingénierie sociale, augmentant ainsi les risques pour la réputation de l’entreprise. « Ces données structurées révèlent non seulement des informations de contact, mais aussi des détails sensibles sur les rôles organisationnels et les affectations de départements, ce qui pourrait ouvrir la voie à des menaces de sécurité, telles que l'ingénierie sociale et d'autres attaques », avertit Hudson Rock. Nam3L3ss, contacté par l’entreprise, affirme que les données publiées ne constituent qu’une petite partie de ce qu'il détient.

Interrogé par Bleeping Computer, Adam Montgomery, porte-parole d’Amazon, a confirmé l’incident tout en se voulant rassurant : « Les systèmes d'Amazon et d'AWS restent sécurisés, et nous n'avons pas subi de violation de sécurité directe. Nous avons été informés d'un incident chez l'un de nos fournisseurs de gestion de propriétés, lequel a impacté plusieurs de ses clients, dont Amazon. » Et d'ajouter : « Les seules informations concernées portaient sur les contacts professionnels des employés, telles que les adresses e-mail professionnelles, les numéros de téléphone de bureau et les emplacements des bâtiments. » Les numéros de sécurité sociale, les identifiants gouvernementaux et les informations financières des employés n’ont pas été exposés, a précisé le porte-parole.

Une vieille faille exploitée

La faille dans MOVEit a été détectée l’année dernière. Largement exploitée, elle permettait de contourner l’authentification, et a occasionné de nombreuses fuites de données, pour beaucoup à l'initiative du groupe de ransomware CLOP. « Les conséquences des attaques MOVEit Transfer, orchestrées par le groupe CLOP, continuent de se manifester. Certains rapports estiment que près de 2 800 organisations ont été touchées, impactant des millions de personnes dans le monde », observe Scott Caveza, ingénieur de recherche chez Tenable.

Un an après, les répercussions de cette vulnérabilité sont toujours d'actualité. Il est difficile pour le moment de déterminer si Nam3L3ss est lié au groupe de rançongiciels CLOP. De son côté, Hudson Rock a recensé 25 grandes entreprises dont les données ont été exposées par Nam3L3ss et dont voici la liste :

Amazon — 2 861 111 enregistrements

MetLife — 585 130 enregistrements

Cardinal Health — 407 437 enregistrements

HSBC — 280 693 enregistrements

Fidelity (fmr.com) — 124 464 enregistrements

U.S. Bank — 114 076 enregistrements

HP — 104 119 enregistrements

Postes Canada — 69 860 enregistrements

Delta Airlines — 57 317 enregistrements

Applied Materials (AMAT) — 53 170 enregistrements

Leidos — 52 610 enregistrements

Charles Schwab — 49 356 enregistrements

3M — 48 630 enregistrements

Lenovo — 45 522 enregistrements

Bristol Myers Squibb — 37 497 enregistrements

Omnicom Group — 37 320 enregistrements

TIAA — 23 857 enregistrements

Union Bank of Switzerland (UBS) — 20 462 enregistrements

Westinghouse — 18 193 enregistrements

Urban Outfitters (URBN) — 17 553 enregistrements

Rush University — 15 853 enregistrements

British Telecom (BT) — 15 347 enregistrements

Firmenich — 13 248 enregistrements

City National Bank (CNB) — 9 358 enregistrements

McDonald's — 3 295 enregistrements