Amazon ha recentemente confermato che i dati di alcuni dipendenti sono stati compromessi a seguito di un incidente di sicurezza che ha colpito uno dei suoi fornitori di terze parti. In una dichiarazione Adam Montgomery, portavoce dell'azienda, ha chiarito che i sistemi di Amazon e AWS non sono stati direttamente interessati dall'attacco. L'evento ha riguardato invece un fornitore di servizi di gestione immobiliare, il cui sistema è stato violato, coinvolgendo diverse aziende clienti, tra cui Amazon.
Secondo Montgomery, i dati esposti riguardano unicamente informazioni di contatto professionali, come indirizzi email aziendali, numeri di telefono del posto di lavoro e le ubicazioni degli uffici dei dipendenti. Ha specificato che non sono stati compromessi dati sensibili come numeri di previdenza sociale o informazioni finanziarie. Inoltre, il fornitore di servizi ha risolto la falla di sicurezza che aveva permesso l'accesso non autorizzato ai dati.
Amazon non ha divulgato il numero preciso di dipendenti interessati dalla violazione, ma ha rassicurato sul fatto che le informazioni esposte non includono dati personali riservati. Tuttavia, la notizia ha suscitato preoccupazione dopo che un hacker ha affermato di aver diffuso i dati rubati su BreachForums, una piattaforma utilizzata per la compravendita di informazioni compromesse.
Le dichiarazioni dell'hacker
L'hacker ha dichiarato di possedere oltre 2,8 milioni di righe di dati, che, secondo lui, sono stati sottratti sfruttando una vulnerabilità nel sistema MOVEit Transfer durante un attacco su larga scala condotto lo scorso anno.
Questo incidente evidenzia i rischi legati alla sicurezza dei dati quando si fa affidamento su fornitori di servizi esterni. Nonostante i protocolli interni di sicurezza di Amazon, l'uso di partner terzi introduce potenziali punti di debolezza, come dimostrato in questo caso.
L'azienda ha dichiarato di collaborare con il fornitore coinvolto per indagare sull'accaduto e implementare ulteriori misure di protezione per prevenire eventi simili in futuro. L'episodio solleva interrogativi sulla sicurezza delle informazioni professionali, e sottolinea la necessità per le aziende di monitorare rigorosamente la sicurezza delle proprie partnership esterne per evitare possibili violazioni e proteggere i dati dei propri dipendenti.