Amazon坦承員工資料在MOVEit相關資安事件中外洩

網路電商及平臺大廠Amazon本周坦承，受使用的MOVEit服務漏洞事件波及，使公司員工資料外洩。

Amazon是回應上周駭客論壇一名為Nam3L3ss的人士，宣稱取得該公司資料的消息。這名人士公布包含Amazon的20多家知名企業的資料作為樣本，意在出售更大批的資料。Amazon遭公布的280萬行資料是來自它使用的MOVEit，後者在2023年5月，遭大規模駭客入侵事件。

Amazon本周稍早對媒體證實此事。該公司聲稱獲報，其一家物產管理廠商的「資安事件」影響其客戶，包括Amazon。唯一外洩的公司資訊是員工聯絡資訊，像是公司電子郵件、桌機電話和大樓地址。這家電商龍頭強調，Amazon和AWS的系統都沒有被駭，外流的資料是從外部廠商系統流出，此外，Amazon說這「第三方廠商」並不能存取更為敏感的個資，像是社會安全號碼或財務資訊。

檔案傳輸平臺MOVEit的漏洞，在2023年5月遭Cl0p勒索軟體組織大規模濫用，是去年的資安大事。多個使用MOVEit的美國政府機關，及二個能源部下屬單位都成了受害者。

連同Amazon被公布資料的組織，還包括聯想、HP、麥當勞、匯豐銀行和達美航空等知名企業。駭客宣稱取得了250TB的資料，不過其來源還包含其他資料庫如MySQL、SQL Server、Azure或Amazon bucket，而非MOVEit。