亚马逊和达美航空本周均证实,一次数据泄露事件暴露了各自无数员工的信息。以亚马逊为例,280 万行员工数据被盗,其中包括工作电子邮件地址、桌面电话号码和建筑位置。两次违规事件都是由于系统中的安全漏洞而发生的移动它文件传输系统,据信该系统于 2023 年 5 月首次被利用。
此次违规事件凸显了及时补丁管理、强大的安全实践以及对新出现的威胁保持警惕的至关重要性。
达美航空发言人告诉记录未来新闻内部调查显示,由第三方合作伙伴管理的内部目录已被泄露。
达美发言人表示:“数据集包括姓名、联系信息和办公地点等信息,但不包含敏感的个人信息。”记录未来新闻。
亚马逊的数据泄露事件也发生在一家负责管理该公司员工联系信息的第三方物业管理供应商身上。据该公司称,亚马逊的内部系统,包括亚马逊网络服务(AWS),仍然安全,没有敏感的个人数据,如社会安全号码或财务信息受到泄露。
亚马逊发言人 Adam Montgomery 表示:“亚马逊和 AWS 系统仍然安全,我们没有遇到安全事件。” “我们收到通知,我们的一家物业管理供应商发生了安全事件,影响了包括亚马逊在内的几家客户。唯一涉及的亚马逊信息是员工工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。”
Amazon Web Services 是 Amazon 的子公司,以计量、按需付费的方式向个人、公司和政府提供按需云计算平台和 API。
亚马逊的漏洞是由自称 Nam3L3ss 的威胁行为者披露的,他在 BreachForums 上发布了 280 万行亚马逊员工数据。 Nam3L3ss 声称拥有“超过 250 TB 的存档数据库文件”,并警告说它可以“从公开的网络源下载整个数据库,包括 mysql、postgres、SQL Server 数据库和备份、azure 数据库和备份等”。
Nam3L3ss 进一步声称,已发布的数据仅占其总缓存的“不到 0.001%”,并威胁要发布多达 1,000 个先前未识别的违规行为的信息。
Hudson Rock 联合创始人兼首席技术官 Alon Gal 在一份报告中表示博客文章周一,“Nam3L3ss 此后发布了几篇暗网帖子,声称他们不是黑客,只是下载勒索软件网站上发布的数据或不安全存储平台上保存的数据。该人士声称,他们不会出售这些数据,而是出于对不保护用户信息的知名公司的愤怒而发布这些数据。在另一篇文章中,Nam3L3ss 将他们的行为归因于最近在俄亥俄州哥伦布市发生的一场争议,其中一名网络安全研究人员因访问勒索软件团伙窃取的城市数据而被起诉。诉讼在两周前被撤销。”
网络安全公司 Emsisoft 估计,近 3,000 个组织受到 MOVEit 漏洞利用的影响,近 9600 万人的记录被盗。
加尔表示,被盗信息“包含详细的员工信息,包括姓名、电子邮件地址、电话号码、成本中心代码,在某些情况下还包括整个组织结构。”加尔补充说,“此类数据可能成为网络犯罪分子的金矿,他们试图进行网络钓鱼、身份盗窃,甚至大规模的社会工程攻击。”
目前尚不清楚 Nam3L3ss 是否与绰号为 C10p 的勒索软件团伙是同一实体,据信该团伙首先利用了 MOVEit 漏洞。然而,没有公开信息将这两个组织直接联系在一起。值得注意的是,多个威胁行为者可以独立利用同一漏洞。在没有具体证据的情况下,不能断定Nam3L3ss和C10p是同一实体。
2023 年 5 月,C10p 利用 MOVEit 漏洞进行了大范围的数据盗窃活动。该组织部署了一个名为 LEMURLOOT 的 Web shell,以从受感染的 MOVEit Transfer 服务器中窃取数据。这次攻击影响了 1,000 多个组织,暴露了超过 6000 万人的敏感信息。据估计,该团伙赚取了 7500 万至 1 亿美元的赎金。
据称,该组织是一个俄语网络犯罪组织,至少自 2019 年以来一直活跃。C10p 已针对全球主要组织,采用复杂的恶意软件和勒索技术。该组织因要求支付巨额赎金并威胁如果不满足其要求就泄露被盗数据而臭名昭著。
网络安全和基础设施安全局 (CISA) 官员去年表示,他们不认为 MOVEit 攻击是由俄罗斯政府协调的。
CISA 和联邦调查局 (FBI) 均已发布公告,详细介绍了该组织的策略、技术和程序,提供了抵御此类攻击的妥协指标和缓解策略。
至少自 2023 年中期以来,MOVEit 漏洞一直是重大网络安全事件的核心,并产生了广泛的影响,影响了亚马逊以外的多个组织。 Nam3L3ss 在网络犯罪社区中特别活跃,曾参与影响多个组织的数据泄露事件。该组织利用 MOVEit 漏洞入侵了至少 25 家公司,泄露了员工信息,例如姓名和联系方式。
Nam3L3ss 采用的方法涉及利用第三方供应商的漏洞并利用配置错误的云存储服务。众所周知,他们会从公开的网络来源下载整个数据库,包括 MySQL、PostgreSQL 和 SQL Server 数据库,以及来自 Azure 和 AWS 的备份。这种方法使他们能够积累大量敏感信息,然后在黑客论坛上泄露或出售这些信息。
为了应对此次泄露,亚马逊已与受影响的供应商合作解决和纠正安全漏洞,并保证其内部系统保持安全,并且受损数据仅限于工作联系信息。
尽管如此,该事件强调了强大的安全措施的至关重要性,特别是在依赖第三方供应商进行数据管理时。
MOVEit 是一款托管文件传输软件,由 Ipswitch, Inc. 开发,现已成为 Progress Software 的一部分。 2023 年 5 月,MOVEit Transfer 中发现了一个严重的零日漏洞。 SQL 注入缺陷允许未经身份验证的攻击者访问应用程序的数据库,从而可能更改或删除其内容。该漏洞被积极利用,导致众多组织遭受未经授权的数据访问。
Progress Software 立即发布了补丁和建议来缓解该漏洞,但当时该漏洞已导致重大数据泄露,影响了 BBC、英国航空公司和美国能源部等实体。该公司随后遭遇了 100 多起诉讼。
埃姆西软件说去年,“文件传输应用程序往往由较小的供应商开发,人们一直认为较小的供应商在应用程序安全方面的能力较差。文件传输应用程序也往往由组织而不是个人部署,这增加了受害者有资源支付费用的可能性。最后,也许也是最重要的一点是,这些应用程序保存数据。很多数据。所有这些都意味着文件传输应用程序成为一个有吸引力的目标,并且几乎肯定会再次成为目标。”
Nam3L3ss 以及 C10p 的活动凸显了强大的网络安全措施的至关重要性,特别是在依赖第三方供应商进行数据管理时。建议组织实施全面的安全协议,对其系统进行定期审核,并确保其供应商遵守严格的安全标准。
虽然有关 Nam3L3ss 的具体细节有限,但其最近的活动清楚地提醒人们网络威胁不断变化的形势以及组织保持领先于潜在漏洞的必要性。
建议组织及时应用安全更新,监控异常活动,并实施全面的安全措施,以防范类似的漏洞和威胁行为者。
