Amazon confirmó que más de 2,8 millones de líneas de datos de sus empleados fueron robadas y publicadas en el foro BreachForums, la información comprometida incluye direcciones de correo electrónico corporativo, extensiones telefónicas y ubicaciones de trabajo.

A través de una vulnerabilidad en MOVEit Transfer, un programa de transferencia de archivos utilizado por Amazon y otras empresas, fue que se ejecutó el robo; sin embargo, la compañía asegura que no se accedió a información personal sensible, como números de seguridad social o cuentas financieras, y que la filtración de datos de contacto puede facilitar ataques de phishing y otras amenazas de seguridad.

El atacante, conocido como Nam3L3ss, ha afirmado tener acceso a más de 2,8 millones de líneas de datos de empleados de Amazon, además de información de más de mil empresas adicionales. La vulnerabilidad, identificada como CVE-2023-34362, fue detectada el año pasado en el software MOVEit Transfer, perteneciente a Progress Software. Empresas de renombre como MetLife, U.S. Bank, HP y McDonald's también se han visto afectadas por la brecha de seguridad.

A pesar de que Amazon asegura que sus sistemas y los de Amazon Web Services (AWS) no fueron comprometidos, el robo evidenció que la seguridad de las empresas también depende de las infraestructuras utilizadas por sus socios, cuyo acceso a datos sensibles puede ser explotado si no se gestionan adecuadamente los riesgos de seguridad, concluyó.