Accenture bewaarde per ongeluk klantgegevens op onbeveiligde AWS-servers

Security
Accenture bewaarde per ongeluk klantgegevens op onbeveiligde AWS-servers

Accenture gaf per ongeluk toegang tot decryptiesleutels, wachtwoorden en gevoelige klantendata op vier onbeveiligde AWS S3-servers. Iedereen die over het benodigde webadres beschikte kon daardoor bij de gegevens. Een woordvoerder van het bedrijf laat aan IT Pro echter weten dat er geen risico’s voor klanten waren.

Beveiligingsbedrijf UpGuard ontdekte in september dat er 137 GB aan data potentieel kwetsbaar was. Uiteraard werd Accenture direct ingelicht, waarna de servers gesloten werden. Volgens Chris Vickery, directeur Cyber Risk Research van UpGuard, kon een crimineel “de sleutels voor het koninkrijk” krijgen vanwege de kwetsbaarheid, zo laat hij weten in een interview met ZDNet.

Inhoud servers

Op de servers stonden onder meer wachtwoorden in geschreven tekst en decryptiesleutels waarmee hackers zich als een werknemer van een bedrijf voor kunnen doen. In een blog geeft UpGuard aan dat de vier servers data van Accenture Cloud Platform bevatten, alsmede diep verwerkte processen en Accenture-klanten die het platform gebruiken. Specifieke gebruikers worden niet genoemd, maar sommige van de grootste bedrijven ter wereld maken gebruik van Accenture-diensten.

In één van de servers bevond zich zelfs een sleutel voor de AWS Key Management System. Als hiervan misbruik gemaakt wordt, kan een kwaadwillende complete controle krijgen over iedere data op het cloudplatform van Amazon. Een andere server beschikte over details voor Accenture’s Google Cloud en Microsoft Azure-accounts, waarmee een hacker mogelijk toegang kan krijgen tot bezittingen van een bedrijf op de andere clouddiensten.

Beveiligingsmodel

Er is echter geen bewijs dat er ook daadwerkelijk misbruik van de kwetsbaarheid gemaakt is. Het statement aan IT Pro benadrukt dat er geen actieve credentials, PII en andere gevoelige gegevens gecomprimeerd zijn. De woordvoerder legt uit dat er een meerlaagse beveiligingsmodel is. De betreffende informatie kan daardoor niet toegang gegeven hebben tot klantensystemen en was geen productiedata of applicatie.

Hoewel de cloud veel veiligheid biedt, is dit niet de eerste keer dat er cybersecurity rondom deze technologie in opspraak komt. Maandag schreven we nog dat hackers zich richten op cloudserviceproviders voor het minen van Bitcoins.