아마존 벤더의 해킹으로 수백만 명의 직원 기록이 유출되다

아마존이 직원들의 이메일 주소, 전화번호, 건물 위치가 노출된 데이터 유출을 확인했습니다. 이 유출은 아마존의 재산 관리 업체 중 하나에서 보안 사건이 발생함에 따라 발생했다고 404 미디어가 보도했습니다.

아마존의 404 미디어에 대한 발표에 따르면, 유출된 정보는 이후 범죄 중심의 포럼에 게시되었습니다.

해당 데이터 유출은 280만 줄 이상의 정보를 포함하고 있으며, 이에는 직원들의 이름, 업무 연락처, 그리고 그들이 배정받은 근무 장소들이 포함되어 있습니다.

사이버보안 회사 Hudson Rock은 이 유출이 Nam3L3ss라는 사용자가 악용한 중대한 MOVEit 취약점(CVE-2023-34362)과 연결된 공격들의 더 큰 파도의 일부라고 말합니다.

2023년 중반에 발견된 이 결함은 해커들이 보안 프로토콜을 우회할 수 있게 하여 금융, 건강관리, 기술, 소매 업계에서 상당한 기업 데이터 유출을 초래했습니다.

허드슨 록(Hudson Rock) 사이버 보안 회사는 MOVEit 사건을 지적하며 이를 25개 주요 기업의 노출된 디렉토리에 연결시켰습니다. 이는 이름, 이메일, 전화번호, 내부 구조를 밝혀내어 피싱과 신원 도용에 유용한 정보를 제공하였습니다.

아마존 대변인 Adam Montgomery는 Verge에 대한 성명에서 회사가 “아마존을 포함하여 몇몇의 고객에게 영향을 미친 우리의 부동산 관리 업체 중 하나에서 보안 사건에 대해 통보 받았다”고 설명했습니다.

그는 또한 “관련된 아마존 정보는 직원의 업무 연락처 정보, 예를 들어 업무 이메일 주소, 사무실 전화번호, 그리고 건물 위치 등이었다”고 덧붙였습니다.

아마존은 404 미디어에게 해당 공급업체가 기본적인 직원 연락처 정보만을 받았으며, 사회 보장 번호, 정부 ID, 금융 정보와 같은 더 민감한 데이터에는 접근하지 못했다고 밝혔습니다.

아마존에 따르면, 이제 해당 공급업체는 404 미디어가 보고한 바와 같이, 이번 사건을 일으킨 보안 취약점을 수정했습니다.

이번 사건은 제3자 공급업체의 취약성과 관련된 지속적인 위험을 강조하며, 핵심 시스템인 아마존 웹 서비스가 영향을 받지 않더라도 아마존과 같은 대기업에 어떻게 영향을 미칠 수 있는지를 보여줍니다.