Amazon, üçüncü taraf bir satıcıda meydana gelen bir “güvenlik sorunundan” sonra çalışan verilerinin güvenliğinin ihlal edildiğini doğruladı.
Şirket, bir hacker’ın MOVEit Transfer yazılımındaki bir güvenlik açığından yararlanarak çalışanların verilerini çaldığını doğruladı. Bu yazılım, büyük kuruluşlar arasında güvenli dosya transferi sağlamak için kullanılır. Siber saldırı, Haziran 2023’teki MOVEit güvenlik açığıyla bağlantılı ve “Nam3L3ss” lakaplı hacker tarafından gerçekleştirildi.
Amazon sözcüsü Adam Montgomery, Pazartesi günü çalışan bilgilerinin bir veri ihlaline karıştığını doğruladı. Montgomery, “Amazon ve AWS sistemleri güvende olmaya devam ediyor ve herhangi bir güvenlik olayı yaşamadık. Mülk yönetimi tedarikçilerimizden birinde, Amazon da dahil olmak üzere birçok müşterisini etkileyen bir güvenlik olayı hakkında bilgilendirildik. İlgili tek Amazon bilgisi, örneğin iş e-posta adresleri, masa telefon numaraları ve bina konumları gibi çalışanların iş iletişim bilgileriydi” dedi.
Amazon, ihlalden kaç çalışanın etkilendiğini açıklamadı. Üçüncü taraf satıcının Sosyal Güvenlik numaraları veya finansal bilgiler gibi hassas verilere erişimi olmadığını belirtti ve satıcının veri ihlalinden sorumlu güvenlik açığını düzelttiğini belirtti.
MOVEit Transfer platformundaki güvenlik açığı, yazılımın dosya transferi sırasında kritik bir hataya sahip olduğunu ortaya koydu. Bu zafiyet, hackerların dosya sistemlerine yetkisiz erişim sağlamasına imkan tanıdı.
Amazon, ihlalin ardından hızlı bir şekilde önlemler aldığını ve etkilenen çalışanlara durumu bildirdiğini açıkladı. Şirket, veri güvenliğine büyük önem verdiklerini ve benzer olayların tekrar yaşanmaması için gerekli adımları attıklarını belirtti.
“Nam3L3ss” adıyla bilinen hacker, çalınmış verilerin bir kısmını BreachForums adlı ünlü bir hack forumunda yayımladı. Bu tür saldırılar, büyük teknoloji şirketlerinin bile siber güvenlik tehditlerine karşı her zaman tetikte olması gerektiğini bir kez daha hatırlatıyor.
