Amazon ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่เกี่ยวข้องกับข้อมูลพนักงาน หลังจากข้อมูลถูกขโมยไปในระหว่างการโจมตี MOVEit เมื่อเดือนพฤษภาคม 2023 โดยถูกเผยแพร่ในฟอรัมของผู้โจมตี
ผู้โจมตีที่อยู่เบื้องหลังการขโมยข้อมูลครั้งนี้ เป็นที่รู้จักกันในชื่อ Nam3L3ss ได้เปิดเผยข้อมูลพนักงานของ Amazon มากกว่า 2.8 ล้านรายการ เช่น ชื่อ, ข้อมูลติดต่อ, สถานที่อาคาร, ที่อยู่อีเมล และข้อมูลอื่น ๆ
โฆษกของ Amazon ชื่อ Adam Montgomery ได้ยืนยันถึงข้อกล่าวหาของ Nam3L3ss โดยระบุว่าข้อมูลนี้ถูกขโมยจากระบบที่เป็นของผู้ให้บริการภายนอก
Montgomery ระบุว่า "ระบบของ Amazon และ AWS ยังคงปลอดภัย และบริษัทไม่ได้เจอปัญหาการถูกโจมตีใด ๆ บริษัทได้รับแจ้งเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นกับผู้ให้บริการจัดการทรัพย์สินรายหนึ่งของเรา ซึ่งส่งผลกระทบต่อลูกค้าหลายราย รวมถึง Amazon ด้วย"
โดยข้อมูลที่เกี่ยวกับ Amazon มีเพียงข้อมูลการติดต่อในการทำงานของพนักงาน เช่น ที่อยู่อีเมลสำหรับทำงาน, หมายเลขโทรศัพท์โต๊ะทำงาน และสถานที่ตั้งอาคารเท่านั้น
บริษัทระบุว่า ผู้ให้บริการที่ถูกโจมตีนั้นมีสิทธิ์เข้าถึงเฉพาะข้อมูลติดต่อของพนักงานเท่านั้น และผู้โจมตีไม่ได้เข้าถึง หรือขโมยข้อมูลที่สำคัญของพนักงาน เช่น หมายเลขประกันสังคม, บัตรประจำตัวของรัฐบาล หรือข้อมูลทางการเงิน และทาง Amazon ยังระบุว่า ผู้ให้บริการดังกล่าวได้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยที่ใช้ในการโจมตีเรียบร้อยแล้ว
Nam3L3ss ยังได้เปิดเผยข้อมูลจากบริษัทอื่นอีก 25 แห่ง อย่างไรก็ตาม พวกเขาระบุว่าข้อมูลบางส่วนได้มาจากแหล่งอื่น และได้มาจากเว็บไซต์ที่กลุ่มแรนซัมแวร์ใช้เปิดเผยข้อมูล รวมถึงจาก exposed AWS และ Azure buckers
Nam3L3ss ระบุเพิ่มเติมว่า เขาดาวน์โหลดฐานข้อมูลทั้งหมดจากเว็บที่เปิดเผยข้อมูล รวมถึง MySQL, Postgres, SQL Server, การสำรองข้อมูล, ฐานข้อมูล Azure และการสำรองข้อมูล ฯลฯ แล้วแปลงเป็นรูปแบบ CSV หรือรูปแบบอื่น ๆ รวมถึงอ้างว่ามีไฟล์ฐานข้อมูลที่เก็บไว้มากกว่า 250TB
รายชื่อบริษัทที่ถูกขโมยข้อมูลจากการโจมตี MOVEit หรือรวบรวมจากแหล่งที่เปิดเผยบนอินเทอร์เน็ต และถูกนำไปเผยแพร่ในฟอรัมของแฮ็กเกอร์ ได้แก่ Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald's และ Metlife เป็นต้น (ตามที่แสดงในตารางด้านล่าง)
BleepingComputer ได้ติดต่อกับบริษัทหลายแห่ง และจะอัปเดตบทความนี้เมื่อมีข้อมูลเพิ่มเติม
การโจมตีเพื่อขโมยข้อมูลในเหตุการณ์ MOVEit
กลุ่มแรนซัมแวร์ Clop อยู่เบื้องหลังการโจมตีเพื่อขโมยข้อมูลมาตั้งแต่วันที่ 27 พฤษภาคม 2023 แม้ผู้โจมตีจะระบุว่าข้อมูลดังกล่าวรวบรวมมาจากหลายแหล่ง แต่วันที่ 30 พฤษภาคม 2023 ก็ตรงกับช่วงเวลาที่เกิดการโจมตีเพื่อขโมยข้อมูลของ MOVEit ในช่วงวันหยุด Memorial Day ของสหรัฐอเมริกา
ข้อมูลที่หลุดของแต่ละบริษัททั้ง 25 แห่งมีความคล้ายคลึงกัน จึงเชื่อว่าข้อมูลถูกขโมยมาจากผู้ให้บริการรายเดียวในระหว่างการโจมตีเหล่านี้ และขณะนี้ถูกเผยแพร่ออกมาเป็นชุดข้อมูลแยกต่างหากสำหรับลูกค้าที่ได้รับผลกระทบ
การโจมตีขโมยข้อมูลนี้ใช้ประโยชน์จากช่องโหว่ zero-day ในแพลตฟอร์ม MOVEit Transfer ซึ่งเป็นโซลูชันการถ่ายโอนไฟล์ (MFT) ที่ใช้ในสภาพแวดล้อมองค์กรเพื่อถ่ายโอนไฟล์อย่างปลอดภัยระหว่างหุ้นส่วนทางธุรกิจ และลูกค้า
กลุ่มผู้โจมตีได้เริ่มเรียกค่าไถ่กับเหยื่อในเดือนมิถุนายน 2023 โดยมีการเปิดเผยชื่อเหยื่อบน Dark web
ผลกระทบจากการโจมตีเหล่านี้ส่งผลให้องค์กรหลายร้อยแห่งทั่วโลกได้รับผลกระทบ โดยมีข้อมูลของผู้คนนับสิบล้านคนถูกขโมย และถูกนำไปใช้เรียกค่าไถ่ หรือเปิดเผยทางออนไลน์ตั้งแต่นั้นเป็นต้นมา
หน่วยงานของรัฐบาลกลางสหรัฐฯ หลายแห่ง และหน่วยงานกระทรวงพลังงานสหรัฐฯ (DOE) สองแห่งก็ตกเป็นเป้าหมาย และถูกโจมตีในการโจมตีครั้งนี้เช่นกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.