image

Accenture lekte bedrijfs- en klantgegevens in Amazon S3-bucket

woensdag 11 oktober 2017, 13:08 door Redactie, 4 reacties
Laatst bijgewerkt: 13-10-2017, 15:22

Gigabytes aan bedrijfs- en klantgegevens van adviesbedrijf Accenture waren door een datalek voor iedereen op internet toegankelijk. De gegevens waren onbeveiligd bij de cloudopslagdienst van Amazon opgeslagen, zo meldt securitybedrijf UpGuard.

Onderzoeker Chris Vickery van UpGuard ontdekte op 17 september vier zogeheten Amazon Web Services S3 storage buckets. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. De S3-buckets van Accenture waren zo geconfigureerd dat ze voor iedereen toegankelijk waren. Alleen het kennen van een url was voldoende om de gegevens te benaderen. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

De vier S3-buckets van Accenture bleken allerlei interne bedrijfsgegevens te bevatten, zoals inloggegevens en configuraties voor cloudplatformen van Amazon, Google en Microsoft, vpn-sleutels, privésleutels, gehashte wachtwoorden en 40.000 onversleutelde wachtwoorden, alsmede allerlei klantgegevens. Eén van de S3-buckets bevatte 137GB aan data. Na te zijn ingelicht werden de S3-buckets de volgende dag door Accenture beveiligd. Volgens UpGuard hadden de gegevens kunnen worden gebruikt om zowel Accenture als diens klanten aan te vallen.

Update

In een reactie aan Security.NL stelt Accenture het volgende: "Eeen beveiligingsspecialist heeft ons geholpen het ontmantelde interne systeem en gerelateerde informatie te identificeren. De vier data repositories waren niet compliant aan onze data security standaarden geconfigureerd en zichtbaar op het internet. We hebben ze gelijk veilig gesteld en zijn een forensische review gestart. Geen van onze klanten hun vertrouwelijke informatie was betrokken en op basis van onze reviews geloven we dat er geen beveiligingsrisico's bestaan voor hen. Zelfs met de non-compliant configuratie verzekerde het meerlaagse securitymodel (dat diverse authenticatieniveaus vereist) dat de informatie niet gebruikt kon worden om toegang te krijgen tot een Accenture systeem of klantsysteem."

Reacties (4)
11-10-2017, 13:44 door Anoniem
Ehm. Wat moet men in hemelsnaam met bestanden met 40.000 onversleutelde wachtwoorden ? Ook op eigen infra, goed afgeschermd door firewalls en dergelijke, behoor je dergelijke bestanden niet te hebben. Wachtwoorden horen encrypted te zijn, en niemand hoort bij wachtwoorden van collega's of klanten te kunnen komen (principe van non-repudiation).
11-10-2017, 14:22 door Anoniem
Hmmm...Accenture: was dat niet de externe partij van de Belastingdienst D&A afdeling? zou het dan mogelijk zijn dat hier Belastingdienst-spul bij staat? Dat zou wat zijn....
11-10-2017, 15:54 door Anoniem
Als ze hadden kunnen worden gebruikt dan dient dit behandeld te worden als zijnde gebruikt en dienen minimaal alle belanghebbenden ingelicht te worden.

Inclusief de instanties waar dit gemeld dient te worden.

17 september is vrij recent...

Ik vind het trouwens verdacht dat ze zo geconfigureerd waren.
11-10-2017, 16:12 door karma4 - Bijgewerkt: 11-10-2017, 18:13
Door Anoniem: Hmmm...Accenture: was dat niet de externe partij van de Belastingdienst D&A afdeling? zou het dan mogelijk zijn dat hier Belastingdienst-spul bij staat? Dat zou wat zijn....
Het betreft linux en dat is zo open als wat. Als dat waar is. ..
Verdiep je wat meer in de betreffende materie bij A&D. De signalen die bekend geworden zijn wijzen een compleet andere kant op dan jij suggereert. Ik heb meerder malen mogennervaten hoe een interne leveranciersvoorkeur en afdelingsstrijden uitgespeeld werden Dat was 30 jaar geleden zo en nog recent. Dat lijkt hier ook te spelen.
De oorspronkelijke verkondigde waarheden van Zembla zijn onwaarheden gebleken terwijl de algemene invulling heb vanuit de ict ofwel IV keten niet op orde is. Dat laatste moet een algemeen probleem zijn. Niet veel anders dan ik gewend ben ict security een spelverdeler van os Nerds waar de officiële richtlijnen genegeerd worden.


Overigens ns Vickery zocht eerst naar Mongo db servers, zijn stap naar open Mac backups over Internet werd niet als een aandachtspunt gezien om op te lossen maar een belediging voor Apple apparatuur. Hij kijk nu dus naar s3 buckets Amazon (cloud open source etc ).

Een ander interessant iets om te volgen is.
https://www.computable.nl/artikel/opinie/overheid/6222050/1509029/plasterks-brp-getruukte-zwanenzang.html
Genoeg van beelden hoe een en ander gewoonlijk gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.