安全研究人员发现Accenture在AWS S3上的4台云端服务器没有密码防护,公开曝露于网络,只要有心人士发现路径就能存取大量数据,包括客户数据、凭证、解密密钥等等,Accenture获报后已为4台服务器加上防护。
系统整合商Accenture被研究人员发现大量数据,以及Amazon Web Service密钥放在未以密码保护的云端服务器上,陷公司数据于外泄风险之中。
安全公司UpGuard网络风险研究总监Chris Vickery于9月17日发现Accenture代管在Amazon Web Service (AWS) S3储存服务上的云端服务器,至少有4台未以密码防护而公开在网络上。一旦路径被发现,即可能导致大量公司及客户资料被人免费下载。
这批数据报含API数据、身份验证数据、凭证、解密密钥、客户数据等等。进一步分析发现,这些资料隶属于Accenture企业云端产品Accenture Cloud Platform,这是一个多云的管理平台,用户包括全球100百大企业中的94家,以及全球500大企业中的2/3。
这4台服务器中,最大的服务器档案高达137GB,包含疑为Accenture客户的帐密数据库。还有近4万笔以明码储存的密码。此外,Accenture的AWS中的密钥管理系统(Key Management System)的主密钥也在其中,可导致攻击者取得该公司AWS中所有加密数据的存取权。研究人员表示,一旦这些资料外流,黑客即可针对Accenture客户进行第二波重大攻击。 文章出自:SBF胜博发
经研究人员通知后,Accenture在隔日已立即将4台服务器加上防护。
但在被发现之前究竟有多少资料外泄,Accenture对ZDNET仅低调表示这批资料仅占该公司云端服务数据不到1%,而且完全没有公司客户信息,对客户未造成任何风险。
这是最新一宗AWS上差点(或可能已经)发生的重大数据外泄。在此之前,已有美国2亿选民数据、军事卫星情资及600多万Verizon用户数据接连因为AWS设定疏失而全部公开在网络上。
