Amazon bestätigt Datenschutzverletzung durch externen Anbieter

Ein sicherheitsrelevanter Vorfall mit weitreichenden Folgen

Amazon hat offiziell eingeräumt, dass es bei einem seiner externen Partner, der für das Immobilienmanagement zuständig ist, zu einer Datenpanne kam. Dieser Vorfall führte zu einer Offenlegung von Mitarbeiterdaten, jedoch ohne Auswirkungen auf die internen Systeme von Amazon oder auf die AWS-Cloud-Plattform. Die betroffenen Informationen umfassen lediglich berufliche Kontaktdaten wie E-Mail-Adressen, Telefonnummern und Gebäudestandorte. Laut Amazon wurden jedoch keine persönlichen sensiblen Daten wie Sozialversicherungsnummern oder finanzielle Details kompromittiert.

Die Öffentlichkeit erfuhr von diesem Vorfall, als ein Hacker unter dem Pseudonym „Nam3L3ss“ in einem bekannten Dark-Web-Forum, BreachForums, behauptete, mehr als 2,8 Millionen Amazon-Datensätze gestohlen zu haben. Diese Daten sollen angeblich aus einem großen Sicherheitsleck des MOVEit Transfer-Systems stammen, das 2023 ausgenutzt wurde. Der Hacker erklärte, dass weniger als 0,001 Prozent der gestohlenen Daten veröffentlicht worden seien und er zudem über Daten von mehr als 25 weiteren großen Unternehmen verfüge.

Der Angriff auf MOVEit zählt zu den gravierendsten Cyberangriffen des Jahres 2023. Dabei wurde eine bislang unbekannte Sicherheitslücke in der Dateiübertragungssoftware von Progress Software ausgenutzt. Verantwortlich für den Angriff war die bekannte Erpressergruppe Clop, die für eine Reihe ähnlicher Vorfälle bekannt ist. Unter den betroffenen Organisationen befinden sich unter anderem der US-Dienstleister Maximus sowie staatliche Behörden wie das Verkehrsministerium von Oregon und das Gesundheitsministerium von Colorado, bei denen Millionen von Datensätzen entwendet wurden.

Obwohl Amazon die genaue Anzahl der betroffenen Mitarbeiter noch nicht angegeben hat, versicherte das Unternehmen, dass die Sicherheitslücke inzwischen geschlossen wurde. Der Vorfall unterstreicht erneut die Risiken im Zusammenhang mit der Verwaltung von Daten durch Drittanbieter und beleuchtet die fortwährende Bedrohung durch Cyberkriminalität.