Cuando empresas como Amazon, reconocidos por sus avanzadas medidas de seguridad, se ven envueltos en una brecha de datos, es imposible no prestar atención. Amazon ha confirmado una violación de datos que expuso información de sus empleados después de que datos supuestamente robados durante los ataques MOVEit de mayo de 2023 aparecieran en un foro de hackers.
El responsable de esta filtración, un actor de amenazas que opera bajo el alias Nam3L3ss, publicó más de 2.8 millones de líneas de datos relacionados con trabajadores de Amazon. Esta información incluía nombres, detalles de contacto, ubicaciones de oficinas, direcciones de correo electrónico corporativas y otros datos similares.
En respuesta, Adam Montgomery, portavoz de Amazon, confirmó la autenticidad de la filtración y explicó que los datos robados provenían de los sistemas de un proveedor externo.
“Los sistemas de Amazon y AWS están completamente seguros, no hemos experimentado ningún problema de seguridad en nuestras plataformas. Sin embargo, nos informaron sobre una vulnerabilidad en uno de nuestros proveedores de administración de propiedades, lo que afectó a varios de sus clientes, incluido Amazon”, comentó Montgomery.
Además, Montgomery señaló que los datos filtrados solo contenían información de contacto laboral, como direcciones de correo electrónico corporativas, números de teléfono de escritorio y ubicaciones de edificios. Según Amazon, los atacantes no lograron acceder a información más sensible, como números de seguridad social, identificaciones gubernamentales o detalles financieros.
Por su parte, Amazon afirmó que el proveedor afectado ya corrigió la brecha de seguridad que permitió el ataque. Aunque la información comprometida no incluía datos altamente confidenciales, este incidente pone de relieve los riesgos que las empresas enfrentan al trabajar con terceros y la importancia de reforzar la seguridad en toda la cadena de suministro.
Datos de empleados de Amazon a la venta (Fuente: BleepingComputer)
El hacker conocido como Nam3L3ss no solo filtró datos de Amazon, sino también de otras 25 empresas. Según ellos, gran parte de la información provino de diferentes fuentes, incluidas bases de datos expuestas en la web, filtraciones previas de grupos extorsionadores y hackeos a servicios en la nube como AWS y Azure.
En sus propias palabras, Nam3L3ss explicó cómo opera: "Descargo bases de datos completas de fuentes expuestas en la web, como MySQL, Postgres, SQL Server, copias de seguridad de Azure, entre otras. Luego convierto esos datos a CSV u otros formatos".
También dejaron claro que no comparten acceso directo a su almacenamiento: "No me pidas acceso a mis archivos, etc. Actualmente tengo más de 250 TB de bases de datos y copias archivadas."
Entre las empresas cuyos datos han sido afectados por los ataques MOVEit o extraídos de fuentes públicas en Internet, y que ahora están filtrados en foros de hackers, se encuentran grandes nombres como Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald's y Metlife, entre otras. La lista es extensa y alarmante, dejando claro que ninguna organización, por grande que sea, está a salvo de caer en las manos de los ciberdelincuentes.
Podría interesarte leer: OMA, UNAM y Mabe: Así Afectó el Ransomware de RansomHub a México
La ola de ataques que inició el 27 de mayo de 2023 tuvo como principal protagonista a la banda de ransomware Clop, responsable de una serie de robos de datos que dejaron a cientos de empresas y entidades gubernamentales expuestas. Aunque el grupo afirmó haber recopilado datos de múltiples fuentes, todo apunta a que gran parte de la información filtrada provino de los ataques MOVEit, que coincidieron con el fin de semana largo del Día de los Caídos en EE. UU., el 30 de mayo de 2023.
Los datos filtrados de las 25 empresas afectadas tienen características muy similares. Esto sugiere que la brecha podría haberse originado en un único proveedor que utilizaba la plataforma MOVEit Transfer, una herramienta empresarial diseñada para transferir archivos de manera segura. Sin embargo, los ciberdelincuentes aprovecharon una vulnerabilidad de día cero en esta solución, logrando infiltrarse y extraer grandes volúmenes de información.
No conformes con el robo, los hackers de Clop comenzaron una campaña de extorsión en junio de 2023. Publicaron los nombres de las víctimas en su sitio de la dark web, presionándolas para que pagaran por evitar que sus datos se hicieran públicos. Las consecuencias de este ataque han sido devastadoras: millones de personas en todo el mundo han visto sus datos personales robados y utilizados para esquemas de extorsión o simplemente filtrados en Internet.
Este ataque no solo afectó a empresas privadas; agencias federales de EE. UU. y dos organizaciones del Departamento de Energía (DOE) también fueron blanco de la brecha. Esto demuestra que nadie está a salvo, incluso las entidades gubernamentales con sistemas teóricamente robustos.
El caso de MOVEit ha dejado una importante lección para las organizaciones: una sola vulnerabilidad puede convertirse en la puerta de entrada para ataques masivos, afectando a miles o incluso millones de personas en un abrir y cerrar de ojos. ¿El resultado? Datos robados, chantajes y daños reputacionales que tardarán años en repararse.