اطلاعات Accenture از طریق مخزن‌های ذخیره‌سازی ابری محافظت‌نشده، افشاء شد

خدمات مشاوره‌ای و فناوری بزرگ Accenture اطلاعات حساسی را به‌طور ناخواسته با قراردادن آن‌ها در ۴ مخزن S3 وب سرویس آمازون افشاء کرد. مخزن‌های ذخیره‌سازی ابری در ۱۷ سپتامبر توسط کریس ویکرری از شرکت مقاومت سایبری UpGuard کشف شدند و چند روز پس از آن که ویکری از این یافته‌اش به Accenture اطلاع‌ داد، محافظت شدند. 

 

بزرگ‌ترین مخزن‌ها ۱۳۷ گیگابایت داده، شامل ۴۰ هزار گذرواژه ساده، گذرواژه‌های درهم‌سازی‌شده، کلیدهای دسترسی برای بستر مدیریت زیرساخت ابری Enstratus، داده‌های رایانامه و اطلاعات موجود در پایگاه‌داده شرکت مشاوره‌ای ASGARD را ذخیره می‌کنند. همین مخزن‌ها گواهی‌نامه‌های حساب‌های گوگل و آمازون Accenture و داده‌های استخراج‌شده از یک ردیاب رویداد، شامل آدرس‌های IP و دیگر داده‌های کارخواه Accenture را ذخیره می‌کنند.

 

مخزن دیگر کلیدهای دسترسی داخلی و گواهی‌نامه‌های یک واسط برنامه‌نویسی را که توسط Accenture برای احراز هویت گواهی‌نامه‌ها استفاده می‌شود، پرونده‌های پیکربندی برای آن واسط برنامه‌نویسی، کلید دسترسی اصلی برای حساب سرویس مدیریت کلید AWS، و کلیدهای امضای خصوصی را ذخیره می‌کند. مخازن محافظت‌نشده نیز اطلاعاتی در مورد انبارهای داده ابری Accenture ذخیره می‌کنند، که شامل کلیدهای VPN و سایر داده‌هایی است که UpGuard معتقد است افراد خراب‌کار می‌توانند برای دستیابی به عملیات شرکت از آن‌ها استفاده کنند. UpGuard گفت: «برخی از کلیدهای خصوصی و گواهی‌نامه‌های موجود در یکی از مخزن‌ها ممکن است به نفوذگران اجازه دهد که ترافیک بین Accenture و کارخواه‌ها را رمزگشایی کنند.»

 

دن اوسیلیوان از UpGuard گفت: «اهمیت این مخزن‌های افشاءشده بسیار زیاد و غیرقابل انکار است. این کارگزارهای ابری، که برای هرکسی از طریق URL قابل دسترس است،  می‌تواند هم Accenture و هم هزاران نفر از مشتریان شرکت‌های بزرگ را  توسط تهدیدکنندگان در معرض حملات مخربی قرار دهد که  خسارت مالی بسیاری وارد می‌کند.» همچنین افزود: «ممکن است یک فرد خرابکار بتواند از کلیدهای افشاءشده برای جعل هویت Accenture، و جمع‌آوری اطلاعات بیشتر در محیط فناوری اطلاعات شرکت‌ها به طور مخفیانه استفاده کند.»

 

با این‌حال، Accenture، که مشتریان آن شامل ۹۴ شرکت از ۱۰۰ شرکت ثروتمند جهانی است  و تاثیر بالقوه حفره امنیتی را کاهش داده‌ است، ادعا می‌کند هیچ خطری برای هیچ یک از کارخواه‌ها وجود ندارد و هیچ گواهی‌نامه فعال یا اطلاعات دیگری به خطر نیفتاده است. این شرکت گفت هیچ یک از پرونده‌های افشاءشده داده‌های محصولات را ذخیره نمی‌کند و نمی‌توان از گواهی‌نامه‌ها برای دسترسی به سامانه‌های مشتری استفاده کرد. Accenture اطمینان دارد که سامانه‌های امنیتی آن هرگونه  تلاش برای نفوذ را کشف می‌کنند.

 

این اولین بار نیست که UpGuard یک مخزن S3 سرویس وب آمازون که اطلاعات حساسی را افشاء می‌کند، را پیدا کرده است. در ماه‌های گذشته، این شرکت کشف کرد که یک پیمانکار حزب جمهوری‌خواه جزئیات ۱۹۸ میلیون رای‌دهنده آمریکایی را افشاء می‌کند. شرکت استخدام TalentPen اطلاعاتی در مورد متقاضیان شغلی در شرکت امنیتی TigerSwan، یک ارائه‌دهنده خدمات مرکز تماس جزئیاتی از مشتریان وریزون و Booz Allen Hamilton پرونده‌های ارتش آمریکا را افشاء کرده است. در تمام موارد، به خاطر مخزن‌های S3 محافظت‌نشده بر روی سرویس وب آمازون اطلاعات به صورت برخط افشاء شدند. UpGuard به منظور کمک به سازمان‌ها برای جلوگیری از افشاء توسط واسطه‌های شخص ثالث، روز سه‌شنبه از راه‌اندازی CyberRisk ، محصول جدیدی که ارزیابی خطر را برای واسطه‌های شخص ثالث به‌طور خودکار انجام می‌دهد، خبرداد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید