Le géant de l’e-commerce Amazon a récemment été secoué par une violation de données touchant les informations personnelles de ses employés. Cette brèche de sécurité, qui aurait été causée par l’exploitation d’une vulnérabilité chez un fournisseur tiers, a été revendiquée par un hacker anonyme sur un forum notoire.
Un fournisseur tiers au cœur de la brèche
Selon un porte-parole d’Amazon, Adam Montgomery, les systèmes internes de l’entreprise et d’AWS n’ont pas été directement compromis. La fuite de données résulterait plutôt d’un « événement de sécurité » survenu chez l’un de leurs fournisseurs de services immobiliers, affectant plusieurs de ses clients dont Amazon.
Les données exposées se limiteraient aux informations de contact professionnelles des employés, telles que les adresses e-mail, les numéros de téléphone et les lieux de travail. Aucune donnée sensible comme les numéros de sécurité sociale ou les informations financières n’aurait été compromise, le fournisseur incriminé n’y ayant pas accès.
L’ombre de MOVEit plane sur l’incident
Bien qu’Amazon n’ait pas nommé explicitement le fournisseur en question, un hacker se faisant appeler « Nam3L3ss » a affirmé sur le tristement célèbre forum BreachForums avoir publié des données volées à Amazon et 24 autres grandes organisations. Il prétend détenir plus de 2,8 millions de lignes de données dérobées lors de l’exploitation massive de MOVEit Transfer l’an dernier.
« Ce que vous avez vu jusqu’à présent représente moins de 0,001% des données que je possède. J’ai 1 000 publications à venir, du jamais vu. »
Déclaration du hacker « Nam3L3ss » sur BreachForums
Pour rappel, la brèche MOVEit a été l’une des plus importantes de 2023, exploitant une vulnérabilité zero-day dans le logiciel de transfert de fichiers de Progress Software. Revendiquée par le célèbre gang de ransomware Clop, elle a touché plus de 1 000 organisations.
Amazon se veut rassurant malgré l’ampleur incertaine
Si Amazon a confirmé l’incident, l’entreprise n’a pas précisé le nombre exact d’employés affectés par cette violation de données. Elle assure néanmoins que le fournisseur a corrigé la vulnérabilité en cause. Les autres organisations citées par le hacker n’ont pour l’heure pas réagi à nos sollicitations.
Cet événement rappelle une fois de plus l’importance de sécuriser non seulement ses propres systèmes, mais aussi ceux de ses partenaires et fournisseurs. Dans un écosystème interconnecté, le maillon le plus faible peut mettre en péril les données de tous.
- Amazon confirme une fuite de données employés suite à un incident chez un fournisseur
- Un hacker prétend avoir exploité la brèche MOVEit 2023 et détenir des données volées
- L’ampleur exacte et les conséquences de la violation restent à déterminer
Nul doute que cet incident poussera Amazon et bien d’autres entreprises à renforcer la surveillance de leurs tiers et la résilience de leur chaîne d’approvisionnement numérique face aux menaces croissantes. La confiance et la réputation sont en jeu.