Gigabytes aan bedrijfs- en klantgegevens van adviesbedrijf Accenture waren door een datalek voor iedereen op internet toegankelijk. De gegevens waren onbeveiligd bij de cloudopslagdienst van Amazon opgeslagen, zo meldt securitybedrijf UpGuard.

Onderzoeker Chris Vickery van UpGuard ontdekte op 17 september vier zogeheten Amazon Web Services S3 storage buckets. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. De S3-buckets van Accenture waren zo geconfigureerd dat ze voor iedereen toegankelijk waren. Alleen het kennen van een url was voldoende om de gegevens te benaderen. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

De vier S3-buckets van Accenture bleken allerlei interne bedrijfsgegevens te bevatten, zoals inloggegevens en configuraties voor cloudplatformen van Amazon, Google en Microsoft, vpn-sleutels, privésleutels, gehashte wachtwoorden en 40.000 onversleutelde wachtwoorden, alsmede allerlei klantgegevens. Eén van de S3-buckets bevatte 137GB aan data. Na te zijn ingelicht werden de S3-buckets de volgende dag door Accenture beveiligd. Volgens UpGuard hadden de gegevens kunnen worden gebruikt om zowel Accenture als diens klanten aan te vallen.

Update

In een reactie aan Security.NL stelt Accenture het volgende: "Eeen beveiligingsspecialist heeft ons geholpen het ontmantelde interne systeem en gerelateerde informatie te identificeren. De vier data repositories waren niet compliant aan onze data security standaarden geconfigureerd en zichtbaar op het internet. We hebben ze gelijk veilig gesteld en zijn een forensische review gestart. Geen van onze klanten hun vertrouwelijke informatie was betrokken en op basis van onze reviews geloven we dat er geen beveiligingsrisico's bestaan voor hen. Zelfs met de non-compliant configuratie verzekerde het meerlaagse securitymodel (dat diverse authenticatieniveaus vereist) dat de informatie niet gebruikt kon worden om toegang te krijgen tot een Accenture systeem of klantsysteem."