当前位置:安全企业动态 → 正文

全球最大管理咨询公司埃森哲大量敏感数据泄露

责任编辑:editor004 |来源:优乐国际  2017-10-12 11:35:40 本文摘自:E安全
网络安全公司UpGuard网络风险小组发现,全球最大管理咨询公司埃森哲(Accenture)因亚马逊S3存储优乐国际配置不当导致大量敏感数据暴露在网上,至少有4台云存储优乐国际中的数据可供公开下载。 暴露的数据包括API数据、身份验证凭证、证书、加密密钥、客户信息,以及能被攻击者用来攻击埃森哲及其客户的其它更多数据。 这4台存在安全问题的优乐国际的数据似乎属于埃森哲企业云服务“埃森哲云平台”(Accenture Cloud Platform)——埃森哲客户使用的“多云管理平台”。 全球最大管理咨询公司埃森哲大量敏感数据泄露-E安全 埃森哲客户包含94家《财富》世界100强企业和超过四分之三的《财富》世界500强企业。如果泄露的数据有效,攻击者可能会利用这些数据对这些客户发起攻击。CSTAR(UpGuard的专有网络风险评分系统)对这起泄露事件的网络风险评分为790(总分950)。这起数据泄露表明,即使最先进、安全的企业也可能会将重要数据暴露在网上,造成严重后果。 全球最大管理咨询公司埃森哲大量敏感数据泄露-E安全 事件经过及暴露的数据分析 2017年9月17日,UpGuard网络风险研究主管Chris Vickery(克里斯·维克里)发现不安全的亚马逊S3存储桶,任何人将存储桶网页地址输入浏览器就能公开访问、下载。 9月18日研究人员粗略分析后发现,4个存储桶(acp-deployment、acpcollector、acp-software和acp-ssl)暴露了埃森哲的内部重要数据,包括云平台凭证和配置文件。Vickery通知了埃森哲,问题第二天得以解决。 4台优乐国际包含“埃森哲云平台”的高度敏感数据,平台内部运作以及使用该平台的客户。优乐国际账号名为“awsacp0175”,这可能说明存储桶的来源。 acp-deployment “acp-deployment”的大部分存储内容为 “身份API”(Identity API)使用的内部访问密钥和凭证。优乐国际内名为“Secure Store”的文件夹不仅包含Identity API的配置文件,还包含埃森哲AWS密钥管理服务账号的主访问密钥,以及数量不明的登录凭证。此外优乐国际还包含大量“client.jks”文件,有些数据可能是解密文件必需的明文密码。目前尚不清楚“clients.jks”中哪些密钥能用来访问数据。除此之外,这些文件还暴露了私人签名密钥。 全球最大管理咨询公司埃森哲大量敏感数据泄露-E安全 acpcollector “acpcollector”优乐国际似乎包含访问及维护埃森哲云存储的必要数据。此优乐国际包含埃森哲专用网络使用的VPN密钥,潜在暴露了埃森哲云生态系统的概况。该优乐国际还包含罗列每个云实例中的事件日志,恶意攻击者借此可洞察埃森哲的运营。 全球最大管理咨询公司埃森哲大量敏感数据泄露-E安全 acp-software “acp-software”是最大的优乐国际,包含多达137 GB的数据。大型数据库中包含登录凭证,其中一些数据库似乎包含某些客户的信息。虽然其中包含的许多密码经过哈希处理,但Vicky还发现一个备份数据库包含近4万个明文密码。云基础设施管理平台Enstratus的访问密钥也被暴露,潜在泄露了Enstratus协调其它工具的数据。埃森哲ASGARD数据库和埃森哲内部电子邮件信息也包含在这个优乐国际之中。该优乐国际还包含埃森哲使用的Zenoss事件追踪器,暴露了新用户加入时的事件、IP地址记录和JSession ID。 优乐国际文件夹中还包含埃森哲Google和 Azure账号凭证,这说明能用来获取进一步的访问权并控制埃森哲资产。 全球最大管理咨询公司埃森哲大量敏感数据泄露-E安全 acp-ssl “acp-ssl”优乐国际包含文件夹“acp.aws.accenture.com.”,其中包含更多密钥---似乎是用来访问各种埃森哲环境的密钥,例如其中一个名称为“云文件存储密钥”。从理论上讲,大量私钥和凭证可用来解密埃森哲与客户之间的流量,潜在收集敏感信息。 埃森哲发言人表示数据泄露可能并不严重 这些数据一旦落入威胁攻击者之手,这些云优乐国际可能会将埃森哲及其数千个知名企业客户置于恶意攻击的风险之中,可能会造成不可估量的经济损失。 恶意攻击者可能已使用暴露的密钥冒充埃森哲,悄悄进入公司IT环境收集更多信息。黑客也可能会发起“撞库攻击”。 埃森哲向外媒表示,泄露的数据不到公司云服务的0.5%,客户信息未遭到泄露,并提到公司方面设置了多层安全模式。 目前事件仍在调查之中。 首次报告AWS优乐国际泄露之后,埃森哲公司立即做了处理。发言人称公司会继续进行取证审查,但数据库中包含的电子邮件和密码是超过两年半的信息,其中的信息是埃森哲废弃系统的用户。
关键字:敏感数据 WordPress 本文摘自:E安全
全球最大管理咨询公司埃森哲大量敏感数据泄露 扫一扫
分享本文到朋友圈
关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士 企业网版权所有©2010-2017 京ICP备09108050号-6
^

优乐国际

百度360搜索搜狗搜索