Amazon confirmó recientemente una brecha de seguridad que comprometió datos de contacto laboral de sus empleados, tras una vulnerabilidad en un proveedor externo, MOVEit Transfer. Aunque sus sistemas internos, incluidos los de Amazon Web Services (AWS), no fueron afectados, se expusieron correos electrónicos, números de teléfono y ubicaciones de oficinas de los empleados. Esta falla de MOVEit Transfer, un software de transferencia de archivos desarrollado por Progress Software, ha sido aprovechada por grupos de ciberdelincuentes como Clop para ejecutar ataques masivos en 2023, afectando a más de mil organizaciones.
A pesar de que la información robada de Amazon no incluye datos sensibles como números de seguridad social o información financiera, este incidente subraya la importancia de la seguridad en la cadena de suministro digital. Aunque Amazon no especificó la cantidad de empleados afectados, en foros de hackers un usuario conocido como "Nam3L3ss" asegura haber extraído datos de hasta 25 grandes empresas, incluyendo Amazon, y publicó una pequeña parte en BreachForums. El atacante también mencionó que planea liberar más datos en el futuro.
El incidente de Amazon es solo un ejemplo más de las graves repercusiones de las vulnerabilidades en MOVEit Transfer. Instituciones destacadas, como el Departamento de Transporte de Oregón, el Departamento de Salud de Colorado y contratistas gubernamentales de EE. UU., también han sido afectados, exponiendo información de millones de personas. Estos incidentes ponen de relieve los riesgos asociados con los sistemas de transferencia de datos, que son esenciales en el intercambio de información sensible pero a menudo carecen de suficientes medidas de seguridad.