MOVEit漏洞事件：企业数据安全的教训

主要要点

在最近的一次资讯泄漏中，代号为Nam3L3ss的攻击行为者在 BreachForums 黑客网站上发布了至少25个CSV数据集，这些数据集包含了来自多家知名公司的数百万条记录。这些数据很可能是在去年的 MOVEit 软体漏洞事件中被盗取的。

MOVEit攻击是2023年最大的数据泄漏事件，这起事件是由骇客利用Progress Software的MOVEit传输软件中的零日漏洞所引发的。该事件由Clop勒索病毒团伙所声称，影响了超过1000家组织。

根据 Hudson Rock 的一篇 11月11日的博客文章，盗取的数据中包括来自25家主要公司的员工目录，这些公司包括Amazon、MetLife、Cardinal Health、HSBC、Fidelity和US Bank。

Hudson Rock的研究人员表示，这些目录包含了详细的员工信息，包括姓名、电子邮件地址、电话号码、成本中心代码，以及在某些情况下的整个组织结构。

“这类数据对于希望进行网络钓鱼、身份盗窃或甚至社会工程攻击的网络罪犯来说，可能是一个金矿，”研究人员写道。

在这次事件中，Amazon所受到的负面报导最为严重，因为据报导有280万条Amazon记录被曝露。接下来两个最大受害者是MetLife，曝光记录为585130条；Cardinal Health 则有407437条记录曝光。Amazon还因公开确认其发生了与数据泄漏事件相关的安全事件而受到了关注。

Amazon的发言人Adam Montgomery明确表示，Amazon及Amazon Web Services的系统依然安全，并且大型科技公司并未经历安全事件。Montgomery向SC Media分享了以下声明：

“值得注意的是，Amazon只是Hudson Rock报告中提到的众多公司之一。我们收到通知，某家与我们有业务合作的物业管理供应商发生了一起安全事件，影响了包括Amazon在内的多家客户。所有受影响的Amazon数据只是员工的工作联络信息，比如工作电子邮件地址、办公电话号码和建筑位置。受影响的供应商仅获得员工的联络信息，并不拥有敏感的员工信息，如社会安全号码、政府身份证明或财务信息。我们已确认该供应商已修复此次事件的安全漏洞。”

案件凸显第三方应用的脆弱性

此次事件重申了第三方软件仍然是组织面临的最大和最难以管理的网络安全风险之一，包括大型和技术成熟的企业，Spektion的首席执行官Joe Silva表示。他指出，一旦任何公司对第三方软件的风险和漏洞做出反应，这些漏洞其实已经被积极利用，而只