Amazon, Mayıs 2023 MOVEit saldırıları sırasında çalındığı iddia edilen verilerin bir bilgisayar korsanlığı forumuna sızdırılmasının ardından çalışan bilgilerini içeren bir veri ihlalini doğruladı.
Nam3L3ss olarak bilinen bu veri sızıntısının arkasındaki tehdit aktörü, isimler, iletişim bilgileri, bina konumları, e-posta adresleri ve daha fazlasını içeren 2,8 milyon satırdan fazla Amazon çalışan verisi yayınladı.
Amazon sözcüsü Adam Montgomery, Nam3L3ss’in iddialarını doğrulayarak, bu verilerin üçüncü taraf bir hizmet sağlayıcıya ait sistemlerden çalındığını ekledi.
Montgomery, “Amazon ve AWS sistemleri güvende kalıyor ve bir güvenlik olayı yaşamadık. Mülk yönetimi tedarikçilerimizden birinde, Amazon da dahil olmak üzere birçok müşterisini etkileyen bir güvenlik olayı hakkında bilgilendirildik” dedi.
“İlgili olan tek Amazon bilgisi çalışanların iş iletişim bilgileriydi; örneğin iş e-posta adresleri, masa telefon numaraları ve bina konumları.”
Şirket, ihlal edilen satıcının yalnızca çalışanların iletişim bilgilerine erişebildiğini ve saldırganların Sosyal Güvenlik numaraları, resmi kimlik bilgileri veya mali bilgiler gibi hassas çalışan bilgilerine erişmediğini veya bunları çalmadığını söyledi. Amazon, satıcının o zamandan beri saldırıda kullanılan güvenlik açığını yamaladığını da sözlerine ekledi.
Nam3L3ss ayrıca yirmi beş şirketin verilerini de sızdırdı. Ancak verilerden bazılarının, fidye çetelerinin sızıntı siteleri ve açığa çıkan AWS ve Azure korsanları da dahil olmak üzere diğer kaynaklardan elde edildiğini söylüyorlar.
“Mysql, postgres, SQL Server veritabanları ve yedeklemeler, azure veritabanları ve yedeklemeler vb. dahil olmak üzere açıktaki web kaynaklarından tüm veritabanlarını indiriyorum ve ardından bunları csv’ye veya başka bir formata dönüştürüyorum” dediler.
“Benden depolama alanıma vb. erişim istemeyin, şu anda 250 TB’tan fazla arşivlenmiş veritabanı dosyam vb. var.”
Verileri MOVEit saldırılarında çalınan veya İnternet’e açık kaynaklardan toplanan ve şu anda bilgisayar korsanlığı forumunda sızdırılan şirketlerin listesi arasında diğerlerinin yanı sıra Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s ve Metlife yer alıyor (gösterildiği gibi) aşağıdaki tabloda).
BleepingComputer birden fazla şirketle iletişime geçti ve ek bilgi mevcut olduğunda bu makaleyi güncelleyecektir.
| Şirket | Çalınan Tarih | Çalışan Sayısı |
| Lenova | 2023-05 | 45.522 |
| McDonald’s | 2023-05 | 3.295 |
| HP | 2023-05 | 104.119 |
| Şehir Ulusal Bankası | 2023-05 | 9.358 |
| BT | 2023-05 | 15.347 |
| dsm-firmenich | 2023-05 | 13.248 |
| Rush Üniversitesi | 2023-05 | 15.853 |
| KENTSEL | 2023-05 | 17.553 |
| Westinghouse | 2023-05 | 18.193 |
| UBS | 2023-05 | 20.462 |
| TIAA | 2023-05 | 23.857 |
| OmnicomGroup | 2023-05 | 37.320 |
| Bristol-Myers Squibb | 2023-05 | 37.497 |
| 3 milyon | 2023-05 | 48.630 |
| Schwab | 2023-05 | 49.356 |
| Leidos | 2023-05 | 52.610 |
| Kanada Postası | 2023-05 | 69.860 |
| Amazon | 2023-05 | 2.861.111 |
| Delta | 2023-05 | 57.317 |
| Uygulamalı Malzemeler | 2023-05 | 53.170 |
| Kardinal Sağlık | 2023-05 | 407.437 |
| ABD Bankası | 2023-05 | 114.076 |
| fmr.com | 2023-05 | 124.464 |
| HSBC | 2023-05 | 280.693 |
| MetLife | 2023-05 | 585.130 |
MOVEit veri hırsızlığı saldırıları
Tehdit aktörü verilerin çeşitli kaynaklardan toplandığını söylerken 30 Mayıs 2023 tarihi MOVEit veri hırsızlığı saldırılarına denk geliyor.
27 Mayıs 2023’te başlayan saldırı dalgasının arkasında Clop fidye yazılımı çetesi vardı. Yirmi beş şirketin her biri için sızdırılan veriler benzer olduğundan, saldırılar sırasında verilerin tek bir satıcıdan çalındığı ve şu anda ele geçirildiği düşünülüyor. etkilenen müşteriler için ayrı veri setleri olarak yayınlandı.
Bu saldırılar, iş ortakları ve müşteriler arasında dosyaları güvenli bir şekilde aktarmak için kurumsal ortamlarda kullanılan yönetilen bir dosya aktarımı (MFT) çözümü olan MOVEit Transfer güvenli dosya aktarım platformundaki sıfır gün güvenlik açığından yararlandı.
Siber suç çetesi, Haziran 2023’te mağdurlara şantaj yapmaya başladı ve isimlerini grubun karanlık web sızıntı sitesinde ifşa etti.
Bu saldırıların sonuçları dünya çapında yüzlerce kuruluşu etkiledi; o zamandan bu yana on milyonlarca insanın verileri çalındı, gasp planlarında kullanıldı veya internete sızdırıldı.
Bu saldırılarda çok sayıda ABD federal kurumu ve iki ABD Enerji Bakanlığı (DOE) kuruluşu da hedef alındı ve ihlal edildi