Перейти к содержимому
vpnРоссия > News > Новости > Утечка данных Amazon: уязвимость стороннего ПО под угрозой

Утечка данных Amazon: уязвимость стороннего ПО под угрозой

Утечка данных Amazon

В недавнем инциденте с утечкой данных Amazon вновь продемонстрировала риски, связанные с уязвимостями стороннего программного обеспечения, которые ставят под угрозу конфиденциальность информации сотрудников. Представитель Amazon Адам Монтгомери подтвердил факт утечки данных и пояснил, что инцидент произошел из-за ошибки в системе одного из поставщиков, оказывающего услуги по управлению объектами, работающего также с другими клиентами.

По словам Монтгомери, компания узнала об утечке данных после отчета фирмы Hudson Rock, специализирующейся на борьбе с киберпреступностью. В отчете говорилось, что на хакерском форуме BreachForums были опубликованы данные от Amazon и еще 25 других организаций, таких как MetLife, HP, HSBC и Canada Post. Среди уязвимых данных оказались адреса электронной почты, номера телефонов и рабочие места сотрудников.

Какие данные были затронуты

Amazon не уточнила точное количество пострадавших сотрудников, но подтвердила, что поставщик не имел доступа к более чувствительной информации, такой как номера социального страхования или финансовые данные. Компания также сообщила, что выявленная уязвимость была устранена. Тем не менее инцидент подчеркивает серьезные проблемы в сфере защиты данных в условиях использования стороннего программного обеспечения.

Как сообщается в отчете Hudson Rock, источником утечки стала уязвимость в системе передачи файлов MOVEit, обнаруженная в середине 2023 года. Эта уязвимость позволила злоумышленникам обойти аутентификацию и получить доступ к конфиденциальным данным. С тех пор, по данным Hudson Rock, было скомпрометировано около 2,8 миллиона записей с данными сотрудников Amazon, а также данные других организаций.

MOVEit: уязвимость, ставшая причиной многочисленных утечек

Система MOVEit оказалась под угрозой после обнаружения критической уязвимости в её механизмах защиты, что позволило хакерам получить доступ к внутренним данным компаний, которые используют этот продукт для передачи файлов. В результате множество известных организаций столкнулись с утечками конфиденциальной информации о сотрудниках и клиентах. Эта уязвимость была быстро использована злоумышленниками, и в последние месяцы произошла серия кибератак в разных отраслях.

По словам Hudson Rock, MOVEit является лишь одним из примеров, подчеркивающих слабые места в программном обеспечении сторонних поставщиков, на которое полагаются крупные компании. «Эта уязвимость была быстро использована для атак, и её последствия затронули большое количество высокопрофильных организаций», — отмечает компания.

Ранее было выявлено, что Amazon является в повышенной группе риска в списке целей фишинговых атак с показателем в 3 миллиона.

Мнение экспертов: необходимость нового подхода к безопасности цепочек поставок ПО

Джо Силва, генеральный директор компании Spektion, занимающейся кибербезопасностью, подчеркнул, что риски, связанные со сторонним программным обеспечением, остаются одними из наиболее сложных для управления в сфере кибербезопасности. «Каждая компания сталкивается с этим вызовом, включая технически продвинутые организации, такие как Amazon», — отметил он.

«На момент, когда становится известна уязвимость стороннего программного обеспечения, компания уже подвергается риску, так как уязвимость, как правило, уже активно эксплуатируется злоумышленниками».

Джо Силва

Силва также добавил, что современные методы борьбы с рисками стороннего ПО нуждаются в переосмыслении. По его словам, компании должны развивать более проактивный подход к управлению программной цепочкой поставок и стремиться выявлять и устранять уязвимости до их эксплуатации. «Командам по кибербезопасности следует сосредоточиться на раннем выявлении рисков и использовать данные для быстрой и точной оценки безопасности стороннего ПО», — подчеркнул Силва.

Выводы: новый взгляд на защиту данных сотрудников

С учетом уязвимости MOVEit, эксперты все чаще говорят о необходимости более внимательного подхода к безопасности цепочки поставок ПО, особенно для организаций, обрабатывающих большие объемы данных сотрудников и клиентов. В условиях глобальных угроз безопасности, связанных со сторонним программным обеспечением, компании, такие как Amazon, сталкиваются с задачей не только быстрого реагирования, но и усиления защиты данных на уровне всей экосистемы.

Случай с Amazon подчеркивает важность как внутренней кибербезопасности, так и контроля за безопасностью поставщиков и партнеров, обеспечивающих программные решения.

vpn russia

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.

Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.

Оставить комент

Ваш адрес email не будет опубликован. Обязательные поля помечены *