风暴魔域野外首领地图

风暴魔域野外首领地图 www.igoks.icu 2017.10.13

德勤之后,另一家咨詢公司埃森哲也被曝出安全問題

德勤之后,另一家咨詢公司埃森哲也被曝出

1.jpg

繼上月末四大咨詢公司之一的德勤被黑后,另一家咨詢公司埃森哲也被爆出安全問題。

安全公司UpGuard發現,埃森哲的部分業務數據被放在了公開的Amazon S3 bucket服務器上

UpGuard發現,4個云存儲服務器上的數據沒有受到密碼?;?。任何擁有 web 服務器地址的人都可以下載其中存儲的數據,其中包括密鑰,API信息和客戶信息等。

【快訊】德勤之后,埃森哲會計事務所也被爆安全問題

這四個bucket包括:

acp-deployment包含內部訪問密鑰,埃森哲身份API使用的憑據,包含Amazon Web Services密鑰管理服務帳戶的主訪問密鑰的明文文檔以及私有簽名密鑰。

acpcollector包含與埃森哲云存儲維護有關的數據,包括公司私有網絡的VPN密鑰和云生態系統的視圖。

acp-software是一個137 GB的bucket,最大的一個,包含Accenture客戶端憑據的數據庫轉儲,散列密碼和40,000個明文密碼。它還包括Accenture的Enstratus云管理平臺的訪問密鑰和Zenoss事件跟蹤系統的數據,包括JSession ID,如果沒有過期,可以將其插入到cookies中以繞過身份驗證。

acp-ssl包含提供許多埃森哲環境的加密密鑰存儲。名為“acp.aws.accenture.com”的文件夾中的更多密鑰存儲庫,以及可用于解密埃森哲與客戶端之間流量的證書。

“總而言之,這些暴露bucket的重要性不容小覷。如果被黑客利用,這些云服務器可能被任何用戶訪問,這可能會使埃森哲和其數以千計的頂尖企業客戶面臨惡意攻擊,而這些攻擊可能造成無數次的財務損失。“

影響范圍

這一事件的影響有多大呢?

【快訊】德勤之后,埃森哲會計事務所也被爆安全問題

據統計,2015年埃森哲在55個國家、200多個城市有超過38萬4千名員工,營業額約329億美元,是世界上最大的管理咨詢公司,其客戶包括《財富》世界500強中超過八成的跨國公司、各國政府機構以及軍隊。

好在UpGuard 在發現這些暴露數據之后,馬上就通知了 Accenture。Accenture 也馬上采取了安全應對措施。并且 Accenture 還表示,UpGuard 是唯一一個未授權條件下訪問公司服務器的訪問者。

上個月全球四大會計師事務所之一的Deloitte(德勤)曾遭到網絡攻擊,導致其全球電子郵件服務器被入侵。德勤被曝出“大量RDP端口對外”“一個帳號全線入侵”“員工將VPN密碼上傳Github”等低級風險,而它的安全咨詢業務卻被Gartner評為全球第一。

云服務器成泄密新途徑

同樣遭到亞馬遜“出賣”的還有美國的醫療機構。

Kromtech安全中心的研究人員發現47.5 GB數據緩存,這些數據能夠輕易訪問,其中包括316,363個PDF報告;每位患者每周測試結果共約20個文件。每個文件都不是匿名的,每個文件都以病人的名字命名,包括測試日期,家庭住址,電話號碼和測試詳細信息,甚至包括醫生的姓名和病例管理筆記。這無疑是黑客的重大福利。

Kromtech在一篇博客中表示,數據庫連接到的似乎是一家患者家庭監測公司,該公司通過患者自檢試劑盒進行每周血塊藥物測試,這樣病人就不用去醫生辦公室。研究人員表示,盡管沒有對Kromtech做出回應,但該公司在Kromtech通知了該問題后的一天內將該數據庫設為私密。由于HIPAA違規通知規則,現在的法律要求被泄密的公司通知受影響的患者。

Kromtech戰略聯盟副總裁Alex Kernishniuk說:“對于那些想要彌合醫療保健和技術之間差距,讓網絡安全變成業務模型的公司來說,這又是一次警鐘。 “即使是最基本的安全措施也可以防止這種數據泄露。不幸的是,還有更多的數據庫和云存儲庫沒有被發現。




上一篇:第五屆中國網絡安全大會如何解讀

下一篇:最后一頁

?