德勤之后,另一家咨询公司埃森哲也被曝出安全问题

继上月末四大咨询公司之一的德勤被黑后,另一家咨询公司埃森哲也被爆出安全问题。

安全公司UpGuard发现,埃森哲的部分业务数据被放在了公开的Amazon S3 bucket服务器上

UpGuard发现,4个云存储服务器上的数据没有受到密码保护。任何拥有 web 服务器地址的人都可以下载其中存储的数据,其中包括密钥,API信息和客户信息等。

这四个bucket包括:

acp-deployment包含内部访问密钥,埃森哲身份API使用的凭据,包含Amazon Web Services密钥管理服务帐户的主访问密钥的明文文档以及私有签名密钥。 acpcollector包含与埃森哲云存储维护有关的数据,包括公司私有网络的VPN密钥和云生态系统的视图。 acp-software是一个137 GB的bucket,最大的一个,包含Accenture客户端凭据的数据库转储,散列密码和40,000个明文密码。它还包括Accenture的Enstratus云管理平台的访问密钥和Zenoss事件跟踪系统的数据,包括JSession ID,如果没有过期,可以将其插入到cookies中以绕过身份验证。 acp-ssl包含提供许多埃森哲环境的加密密钥存储。名为“acp.aws.accenture.com”的文件夹中的更多密钥存储库,以及可用于解密埃森哲与客户端之间流量的证书。 “总而言之,这些暴露bucket的重要性不容小觑。如果被黑客利用,这些云服务器可能被任何用户访问,这可能会使埃森哲和其数以千计的顶尖企业客户面临恶意攻击,而这些攻击可能造成无数次的财务损失。“

影响范围

这一事件的影响有多大呢?

据统计,2015年埃森哲在55个国家、200多个城市有超过38万4千名员工,营业额约329亿美元,是世界上最大的管理咨询公司,其客户包括《财富》世界500强中超过八成的跨国公司、各国政府机构以及军队。

好在UpGuard 在发现这些暴露数据之后,马上就通知了 Accenture。Accenture 也马上采取了安全应对措施。并且 Accenture 还表示,UpGuard 是唯一一个未授权条件下访问公司服务器的访问者。

上个月全球四大会计师事务所之一的Deloitte(德勤)曾遭到网络攻击,导致其全球电子邮件服务器被入侵。德勤被曝出“大量RDP端口对外”“一个帐号全线入侵”“员工将VPN密码上传Github”等低级风险,而它的安全咨询业务却被Gartner评为全球第一。

云服务器成泄密新途径

同样遭到亚马逊“出卖”的还有美国的医疗机构。

Kromtech安全中心的研究人员发现47.5 GB数据缓存,这些数据能够轻易访问,其中包括316,363个PDF报告;每位患者每周测试结果共约20个文件。每个文件都不是匿名的,每个文件都以病人的名字命名,包括测试日期,家庭住址,电话号码和测试详细信息,甚至包括医生的姓名和病例管理笔记。这无疑是黑客的重大福利。

Kromtech在一篇博客中表示,数据库连接到的似乎是一家患者家庭监测公司,该公司通过患者自检试剂盒进行每周血块药物测试,这样病人就不用去医生办公室。研究人员表示,尽管没有对Kromtech做出回应,但该公司在Kromtech通知了该问题后的一天内将该数据库设为私密。由于HIPAA违规通知规则,现在的法律要求被泄密的公司通知受影响的患者。

Kromtech战略联盟副总裁Alex Kernishniuk说:“对于那些想要弥合医疗保健和技术之间差距,让网络安全变成业务模型的公司来说,这又是一次警钟。 “即使是最基本的安全措施也可以防止这种数据泄露。不幸的是,还有更多的数据库和云存储库没有被发现。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

不是闹鬼,是病毒!全球首个Golem(傀儡)病毒感染数万手机

手机放在桌子上充电,突然亮屏,在没人触摸的情况下,一个手机游戏自己运行,滑动,执行许多命令。执行完之后,手机静悄悄关闭屏幕显示,跟什么都没发生一样。手机主人会发...

21080
来自专栏*坤的Blog

融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了转存在蓝奏云盘的连接了.

20630
来自专栏FreeBuf

一条短信为何能让你银行卡里的钱不翼而飞?

卡还在,钱怎么没了? 近日央视曝光:银行卡盗刷事件频发,原来,不法分子已经形成了一条黑色产业链!他们先是通过改装POS机、发钓鱼链接及黑客WIFI盗取银行卡信...

47190
来自专栏企鹅号快讯

2017十大“最差”密码出炉

从雅虎发生数百万用户数据泄露到近期WannaCry和BadRabbit勒索软件攻击用户电脑,2017年已发生了多起重大网络安全事故。小编整理了国外安全服务机构透...

20660
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(185)-FI-157应收账款

FI157应收账款 该业务情景处理应收帐款中客户的过帐会计数据。客户在此处对数据进行排序,使数据对其他区域(如销售和分销系统)可用。当您过帐应收帐款中的数据时,...

33590
来自专栏FreeBuf

BlackHat议题:利用卫星接收器拓展僵尸网络

Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。 卡...

23160
来自专栏FreeBuf

APT28对美网络钓鱼攻击的线索分析

在即将到来的美国中期选举前夕,谍影重现。9月中旬,微软方面采取行动阻止了一项由俄罗斯APT组织Fancy Bear(APT28)发起的网络钓鱼攻击,攻击者的疑似...

16820
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

13840
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–总账(156)-2流程概览

1 用途 总帐会计主要用于提供外部会计核算和科目的综合情况。在与公司所有其他操作范围相集成的软件系统中,记录所有的业务交易(初始过帐和内部会计核算中的结算)...

38850
来自专栏区块链

快快改密码!14亿账号密码数据库泄露

点击下方“关键字”,查看更多精彩内容 现在无论是网购还是微信登录都需要注册账户名和设置密码,而相应我们的一些个人资料、手机号甚至是银行卡账户都需要与账户进行绑定...

67590

扫码关注云+社区

领取腾讯云代金券