8 ноября хакер под ником Nam3L3ss опубликовал на BreachForums более 2,8 млн строк данных сотрудников Amazon, а также утечки из 25 других крупных компаний. Утверждается, что они были украдены во время атак на программное обеспечение MOVEit Transfer в мае 2023 года.
Злоумышленник заверяет, что у него есть «более 250 Тб архивных файлов баз данных», и предупреждает, что он «загружает целые базы данных из открытых веб-источников, включая mysql, postgres, базы данных и резервные копии SQL Server, базы данных и резервные копии Azure и т. д.». Nam3L3ss также заявляет: опубликованные данные составляют «менее 0,001%» от их общего кэша — хакер угрожает раскрыть информацию о тысячах ранее невиданных нарушениях.
Автор сообщения призвал пострадавшие компании «обратить внимание» на утечки, подчеркнув возможность потенциального раскрытия высокоструктурированной чувствительной информации, которая содержит имена, адреса электронной почты, номера телефонов, должности, а в некоторых случаях и внутренние конфиденциальные документы компаний, включая коды центров затрат и назначения отделов.
В числе пострадавших СМИ называют US Bank, HP, Delta Airlines, Charles Schwab, 3M, Lenovo и McDonald's и другие. Общее количество скомпрометированных записей во всех 25 компаниях превышает 5 млн. Исследователи безопасности из Hudson Rock проверили подлинность данных, сравнив их с профилями LinkedIn и информацией о предыдущих заражениях инфокрадами, и отметили, что нарушение представляет значительные риски для затронутых организаций и их сотрудников.
11 ноября 2024 года Amazon подтвердила факт взлома и сообщила, что данные сотрудников были скомпрометированы через стороннего поставщика услуг по управлению имуществом. Компания утверждает, что её основные системы остаются защищенными и никакие конфиденциальные персональные данные сотрудников, включая номера социального страхования или финансовую информацию, не были раскрыты.
По данным ИБ-экспертов, нарушение безопасности, использованное злоумышленником Nam3L3ss, — продолжающийся волновой эффект одной из самых разрушительных атак на цепочки поставок в прошлом году. Злоумышленник эксплуатировал известную уязвимость MOVEit Transfer CVE-2023-34362 — критическую ошибку SQL-инъекции, которая позволяла неаутентифицированным лицам получать несанкционированный доступ к уязвимым системам. Уязвимость была впервые использована в мае 2023 года и позволила хакерам обходить аутентификацию и получать доступ к конфиденциальным данным, хранящимся в базе данных MOVEit Transfer — решении для управляемой передачи файлов в корпоративных средах.
Уязвимость MOVEit ранее активно эксплуатировалась группой вымогателей Cl0p. Аналитики пока не могут подтвердить, является ли новая утечка следствием деятельности Cl0p и его филиалов или же Nam3L3ss действует независимо. Мотивы хакера остаются неясными, поскольку исключают любые попытки шантажа или требования выкупа.
