欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

德勤之后又有一家咨询公司埃森哲也被曝光出安全方面的问题

来源:本站整理 作者:佚名 时间:2017-10-12 TAG: 我要投稿


继上月末四大咨询公司之一的德勤被黑后,另一家咨询公司埃森哲也被爆出网安成绩。
网安公司UpGuard发明,埃森哲的部门营业数据被放在了地下的Amazon S3 bucket服务器上
UpGuard发明,4个云存储服务器上的数据没有遭到暗码保护。任何领有 web 服务器地点的人都能够下载此中存储的数据,此中包括密钥,API信息和客户信息等。

这四个bucket包括:
acp-deployment包括外部拜访密钥,埃森哲身份API使用的凭证,包括Amazon Web Services密钥治理服务帐户的主拜访密钥的明文文档和公有署名密钥。
acpcollector包括与埃森哲云存储保护无关的数据,包括公司公有收集的VPN密钥和云生态体系的视图。
acp-software是一个137 GB的bucket,最大的一个,包括Accenture客户端凭证的数据库转储,散列暗码和40,000个明文暗码。它还包括Accenture的Enstratus云治理平台的拜访密钥和Zenoss变乱跟踪体系的数据,包括JSession ID,假如没有过时,能够将其拔出到cookies中以绕过身份验证。
acp-ssl包括供给很多埃森哲情况的加密密钥存储。名为“acp.aws.accenture.com”的文件夹中的更多密钥存储库,和可用于解密埃森哲与客户端之间流量的证书。
“总而言之,这些裸露bucket的重要性不容小觑。假如被黑客应用,这些云服务器能够或许被任何用户拜访,这能够或许会使埃森哲和其数以千计的顶尖企业客户面对歹意入侵攻击,而这些入侵攻击能够或许形成无数次的财政丧失。“
影响范围
这一变乱的影响有多大呢?

 
据统计,2015年埃森哲在55个国度、200多个都会有跨越38万4千名员工,营业额约329亿美元,是天下上最大的治理咨询公司,其客户包括《财产》天下500强中跨越八成的跨国公司、列国政府机构和部队。
幸亏UpGuard 在发明这些裸露数据以后,顿时就关照了 Accenture。Accenture 也顿时采用了网安应答步伐。而且 Accenture 还表现,UpGuard 是独一一个未受权条件下拜访公司服务器的拜访者。
环球四大会计师事务所之一的Deloitte(德勤)遭到收集入侵攻击,招致其环球电子邮件服务器被入侵。德勤被曝出“大批RDP端口对外”“一个帐号全线入侵”“员工将VPN暗码上传Github”等初级危险,而它的网安咨询营业却被Gartner评为环球第一。
云服务器成泄密新途径
异样遭到亚马逊“出卖”的另有美国的医疗机构。
Kromtech网安中间的研究人员发明47.5 GB数据缓存,这些数据能够或许随意马虎拜访,此中包括316,363个PDF申报;每位患者每周测试成果共约20个文件。每一个文件都不是匿名的,每一个文件都以病人的名字定名,包括测试日期,家庭住址,电话号码和测试详细信息,乃至包括大夫的姓名和病例治理条记。这无疑是黑客的严重福利。
Kromtech在一篇博客中表现,数据库连接到的似乎是一家患者家庭监测公司,该公司通过患者自检试剂盒停止每周血块药物测试,如许病人就不用去大夫办公室。研究人员表现,只管没有对Kromtech做出回应,但该公司在Kromtech关照了该成绩后的一天内将该数据库设为私密。因为HIPAA违规关照规矩,现在的司法请求被泄密的公司关照受影响的患者。
Kromtech计谋同盟副总裁Alex Kernishniuk说:“对付那些想要弥合医疗保健和技巧之间差距,让收集网安酿成营业模子的公司来讲,这又是一次警钟。 “纵然是最根本的网安步伐也能够避免这类数据泄漏。可怜的是,另有更多的数据库和云存储库没有被发明。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载