La marque à la flèche a confirmé que des données personnelles d’employés ont été volées à la suite d'une cyberattaque ayant ciblé l'un de ses fournisseurs. Le(s) cybercriminel(s) ont exploité une vulnérabilité critique découverte en 2023 dans l'outil de transfert de fichiers MOVEit. Explications.
Encore une attaque contre la chaîne d’approvisionnement. Le géant Amazon a confirmé une violation de données via l’outil MOVEit, utilisé par un de ses fournisseurs de gestion immobilière. Les données concernées comprennent, entre autres, les noms, prénoms, titres, adresses e-mail, numéros de téléphone d'employées, ainsi que les coordonnées des bâtiments où ils travaillent.
Hudson Rock, une société de cybersécurité, a identifié sur un forum de fuite de données un acteur malveillant nommé Nam3L3ss, qui revendique le vol de plusieurs millions de lignes de données du groupe. Dans un message, il incite les grandes entreprises à « prendre conscience » de l’ampleur des fuites, tout en rendant les données accessibles aux cybercriminels.
Amazon confirme
Les informations volées pourraient être utilisées pour des attaques de phishing, d'usurpation d’identité et d'ingénierie sociale, augmentant ainsi les risques pour la réputation de l’entreprise. « Ces données structurées révèlent non seulement des informations de contact, mais aussi des détails sensibles sur les rôles organisationnels et les affectations de départements, ce qui pourrait ouvrir la voie à des menaces de sécurité, telles que l'ingénierie sociale et d'autres attaques », avertit Hudson Rock. Nam3L3ss, contacté par l’entreprise, affirme que les données publiées ne constituent qu’une petite partie de ce qu'il détient.
Interrogé par Bleeping Computer, Adam Montgomery, porte-parole d’Amazon, a confirmé l’incident tout en se voulant rassurant : « Les systèmes d'Amazon et d'AWS restent sécurisés, et nous n'avons pas subi de violation de sécurité directe. Nous avons été informés d'un incident chez l'un de nos fournisseurs de gestion de propriétés, lequel a impacté plusieurs de ses clients, dont Amazon. » Et d'ajouter : « Les seules informations concernées portaient sur les contacts professionnels des employés, telles que les adresses e-mail professionnelles, les numéros de téléphone de bureau et les emplacements des bâtiments. » Les numéros de sécurité sociale, les identifiants gouvernementaux et les informations financières des employés n’ont pas été exposés, a précisé le porte-parole.
Une vieille faille exploitée
La faille dans MOVEit a été détectée l’année dernière. Largement exploitée, elle permettait de contourner l’authentification, et a occasionné de nombreuses fuites de données, pour beaucoup à l'initiative du groupe de ransomware CLOP. « Les conséquences des attaques MOVEit Transfer, orchestrées par le groupe CLOP, continuent de se manifester. Certains rapports estiment que près de 2 800 organisations ont été touchées, impactant des millions de personnes dans le monde », observe Scott Caveza, ingénieur de recherche chez Tenable.
Un an après, les répercussions de cette vulnérabilité sont toujours d'actualité. Il est difficile pour le moment de déterminer si Nam3L3ss est lié au groupe de rançongiciels CLOP. De son côté, Hudson Rock a recensé 25 grandes entreprises dont les données ont été exposées par Nam3L3ss et dont voici la liste :
Amazon — 2 861 111 enregistrements
MetLife — 585 130 enregistrements
Cardinal Health — 407 437 enregistrements
HSBC — 280 693 enregistrements
Fidelity (fmr.com) — 124 464 enregistrements
U.S. Bank — 114 076 enregistrements
HP — 104 119 enregistrements
Postes Canada — 69 860 enregistrements
Delta Airlines — 57 317 enregistrements
Applied Materials (AMAT) — 53 170 enregistrements
Leidos — 52 610 enregistrements
Charles Schwab — 49 356 enregistrements
3M — 48 630 enregistrements
Lenovo — 45 522 enregistrements
Bristol Myers Squibb — 37 497 enregistrements
Omnicom Group — 37 320 enregistrements
TIAA — 23 857 enregistrements
Union Bank of Switzerland (UBS) — 20 462 enregistrements
Westinghouse — 18 193 enregistrements
Urban Outfitters (URBN) — 17 553 enregistrements
Rush University — 15 853 enregistrements
British Telecom (BT) — 15 347 enregistrements
Firmenich — 13 248 enregistrements
City National Bank (CNB) — 9 358 enregistrements
McDonald's — 3 295 enregistrements