Après Free, Intermarché et les autres, c’est au tour d’Amazon de subir de plein fouet une fuite de données. L’entreprise a confirmé hier, ce mardi 12 novembre 2024, l’existence d’une faille de sécurité ayant permis l’exposition de plus de 2,8 millions de lignes de données. La situation critique serait liée à une attaque ciblant un de ses sous-traitants, à savoir le logiciel professionnel MOVEit. Reste que cette fois, ce ne sont pas les clients de la plateforme qui sont directement visés, mais ses employés.
Des milliers de données personnelles mises en vente
Sur le forum pirate BreachForums, un hacker connu sous le pseudonyme de Nam3L3ss a indiqué être en possession de bon nombre d’informations sensibles, comme des adresses email, des numéros de téléphone de bureau et les localisations. Particularité de cette fuite de données, toutes les informations volées appartiennent aux employés et travailleurs indépendants, qui collaborent ou ont collaboré avec le géant américain. Quand on sait que l’entreprise employait 1,52 million de personnes en 2023, il est toutefois facile de constater l’ampleur des dégâts. Au vu du nombre de personnes qui ont travaillé, même temporairement, pour l’entreprise, la fuite a sans doute fait pas mal de dégâts.
De son côté, Amazon a confirmé le vol de données, tout en se montrant rassurante : l’entreprise assure que ses propres systèmes, ainsi que ceux d’Amazon Web Services n’ont pas été compromis. De plus, aucune donnée sensible, comme des numéros de Sécurité sociale ou des informations bancaires, n’ont vraisemblablement été divulguées.
Une faille ouverte depuis 2023
À l’origine de cette bavure, l’exploitation d’une faille au sein du logiciel de transfert de fichiers de Progress Software MOVEit. La vulnérabilité était pourtant connue de tous, puisque cette même application avait déjà fait l’objet d’une attaque en mai 2023. À l’époque, les cybercriminels du groupe Clop avaient tenté d’exploiter cette brèche, en pénétrant dans les systèmes de MOVEit sans nécessiter d’authentification, en exploitant une faille SQL, puis en récupérant des informations confidentielles liées à Amazon. L’action revendiquée par Nam3L3ss aurait donc (en théorie) pu être facilement contrecarrée.
Le problème, c’est que si l’action de Nam3L3ss est confirmée, le pirate n’entend pas s’arrêter là. Il prétend en effet détenir 250 téraoctets d’informations provenant de 25 grandes entreprises. Amazon ne serait ainsi que la partie immergée de l’iceberg, puisque d’autres grands noms de l’industrie, comme MetLife, HSBC et HP seraient également concernés.
De sérieux manquements sécuritaires
Difficile de ne pas relier l’incident qui touche actuellement Amazon à la cyberattaque qui touchait Free ces dernières semaines. Pour rappel, 19 millions d’IBAN avaient été dérobés à l’entreprise, et 100 000 lâchés en plein dark web en guise de preuve par les hackers. Si les données n’ont finalement pas (encore) été vendues, les pirates avaient principalement pour objectif de dénoncer les problèmes liés une (très) mauvaise gestion de la vie privée en France. Les cas similaires devraient augmenter considérablement dans les mois et les années à venir. Attention donc à qui vous décidez de confier vos données, les grosses entreprises aux moyens sécuritaires décuplés ne sont pas forcément gages de fiabilité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Quels sont les risques concrètement ? “Pas mal de dégâts” n’est pas clair.
Assez pathétique ce n’est pas la fin du monde appliquer des correctifs chaque mois. Je sais de quoi je parles travaillant dans le domaines des bases de données depuis 15 ans. J’adore amazon mais la je la trouve pas drôle.