Un fallo de seguridad en un proveedor externo comprometió información de contacto de empleados de Amazon. La compañía asegura que los datos sensibles y financieros no fueron afectados, pero el incidente ha levantado preocupaciones en la industria.

Amazon ha confirmado que un fallo de seguridad en un proveedor externo derivó en la filtración de datos de contacto de algunos de sus empleados. La brecha se produjo como consecuencia de la explotación de una vulnerabilidad en MOVEit Transfer, un sistema de transferencia de archivos utilizado por múltiples empresas. Según la declaración proporcionada a TechCrunch, la compañía asegura que sus propios sistemas, incluyendo Amazon Web Services (AWS), no fueron vulnerados y permanecen seguros. La información filtrada incluye únicamente datos laborales, como direcciones de correo electrónico, números de teléfono y ubicaciones de oficinas de los empleados, sin incluir datos financieros o personales sensibles.

El portavoz de Amazon, Adam Montgomery, destacó que el problema radica en el sistema de uno de sus proveedores de administración de propiedades y no afecta la infraestructura de Amazon ni AWS. Sin embargo, Amazon no ha revelado el nombre del proveedor afectado ni ha dado detalles sobre el número exacto de empleados comprometidos. La compañía explicó que este proveedor no tiene acceso a información confidencial, como números de Seguridad Social o datos financieros de los empleados. Asimismo, Amazon ha informado que el proveedor ha implementado correcciones a la vulnerabilidad, la cual fue explotada por el actor de amenazas para acceder a la información.

El rol de MOVEit Transfer y el historial de ataques.

Este incidente se suma a una serie de filtraciones masivas derivadas de la vulnerabilidad en MOVEit Transfer, que fue uno de los ataques informáticos más grandes de 2023. El software de Progress Software fue objeto de explotación mediante una vulnerabilidad de «día cero», afectando a más de 1.000 organizaciones. La brecha de seguridad también impactó a otras grandes instituciones, como el Departamento de Transporte de Oregón, con 3.5 millones de registros robados, y la compañía Maximus, especializada en servicios para el gobierno de Estados Unidos, con 11 millones de registros comprometidos. Estos ataques fueron reivindicados por el grupo de ransomware Clop, conocido por emplear tácticas de extorsión y demanda de rescate.

El hacker, identificado bajo el alias «Nam3L3ss», aseguró en el sitio de piratería BreachForums que posee más de 2.8 millones de líneas de datos robados de Amazon, y afirmó que solo ha publicado una fracción mínima del total de información que tiene en su poder. Además, Nam3L3ss indicó que planea revelar más datos próximamente, en un intento de escalar la amenaza hacia Amazon y otras empresas involucradas. La firma de ciberseguridad Hudson Rock también ha emitido alertas, señalando que el hacker podría poseer información robada de hasta 25 organizaciones importantes.

Perspectivas y riesgos para la industria tecnológica.

La vulnerabilidad de MOVEit ha dejado en evidencia la fragilidad de los sistemas de seguridad de muchos proveedores externos que manejan información sensible de grandes corporaciones. A medida que las empresas tecnológicas delegan cada vez más operaciones a terceros, el riesgo de comprometer información a través de sus proveedores aumenta. Este incidente destaca la necesidad de reforzar las medidas de seguridad, no solo en las infraestructuras internas, sino también en los sistemas de los socios externos.

El ataque a Amazon y la exposición de información laboral subrayan la importancia de la seguridad en toda la cadena de suministro digital. Las empresas deben asegurarse de que sus proveedores cumplen con estándares de seguridad rigurosos para proteger los datos sensibles que manejan. Con la proliferación de ciberataques en el entorno digital actual, este tipo de brechas debe servir como una advertencia para que las empresas revisen y fortalezcan sus políticas de seguridad y supervisión de terceros, evitando así que los datos de sus empleados o clientes caigan en manos indebidas.