Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Axel Kannenberg 46

Vertrauliche Daten von Accenture auf ungeschützten Webservern

Server

Bild: Shawn O'Neil, CC BY 2.0

Tag der offenen Tür in Accentures Cloud: Mindestens vier Server voll vertraulicher Daten wie Passwörter und Entschlüsselungscodes waren laut Sicherheitsforschern im Netz frei zugänglich.

Der Consulting-Firma Accenture ist ein schwerer Sicherheitspatzer passiert: Auf mindestens vier Servern in Amazons AWS-Cloud hatte das Unternehmen hunderte Gigabyte an vertraulichen Daten ohne Passwortschutz und größtenteils unverschlüsselt ins Netz gestellt, wie Sicherheitsforscher der Firma Upguard feststellten. Den Forschern zufolge hätten Fremde etwa Zugangsdaten zum Cloud-Service der Beraterfirma, Zertifikatsdaten, VPN-Schlüssel und allerhand Informationen über Kunden abgreifen können. Auch Accentures Masterkey für den AWS-Dienst sowie Zugangsdaten für Accounts der Firma bei Google und Microsofts Azure wären wohl gefährdet gewesen.

Anzeige

Zwar sei immerhin ein Großteil der Passwörter gehasht gewesen, doch rund 40.000 davon ließ man wohl komplett ungesichert. Darüber hinaus hätte man auch tiefe Einblicke in das Backend von Accentures Clouddienst bekommen, ebenso wie sensible Informationen über die Cloudmanagement-Plattform Enstratus. Der Sicherheitsforscher Chris Vickery, der das Leck entdeckt hatte, sprach gegenüber Zdnet von den "Schlüsseln für das Königreich“.

Vickery hatte den unfreiwilligen Datenreichtum am 17. September bemerkt und nach kurzer Analyse Accenture benachrichtigt; das Unternehmen sicherte die Server umgehend. Gegenüber Zdnet erklärte ein Sprecher, dass kein Risiko für die eigenen Kunden bestanden habe. Die Zugangsdaten seien zweieinhalb Jahre alt und für Nutzer eines inzwischen stillgelegten Systems gedacht gewesen. Einen Zugriff auf die ungesicherten Server habe man nicht feststellen können.

Accenture rühmt sich selber damit, unter anderem zwei Drittel der 500 umsatzstärksten Unternehmen weltweit auf seiner Kundenliste zu haben. Sensible Daten einer solchen Consulting-Gesellschaft dürften also von großem Wert sein – und enormes Potenzial besitzen, um damit Schaden anzurichten. (axk)

46 Kommentare

Themen:

Anzeige
  1. Wahlmaschinen-Hersteller veröffentlicht Daten von 1,8 Millionen US-Wählern

    Wahlmaschinen-Hersteller veröffentlicht Daten von 1,8 Millionen US-Wählern

    Die persönlichen Daten von 1,8 Millionen US-Bürgern, die an Wahlen in Chicago teilgenommen haben, lagen unverschlüsselt in einem AWS Bucket in der Cloud. Die Wahlkommission äußert sich besorgt.

  2. Spammergate: 1,4 Milliarden E-Mail-Adressen durch Marketingfirma geleakt

    Spammergate: 1,4 Millionen E-Mail-Adressen durch Marketingfirma geleakt

    Sicherheitsforscher, die ein ungesichertes Backup der Marketingfirma River City Media entdeckt haben, werfen deren Mitarbeitern vor, eine riesige Spamoperation betrieben zu haben.

  3. Daten von Millionen Verizon-Kunden waren ungeschützt

    Vorratsdatenspeicherung

    US-Provider Verizon ließ über einen Dienstleister Daten von Millionen Kunden mehrere Monate lang ungesichert auf einem Webserver lagern.

  4. Sicherheitspanne an New Yorker Flughafen besteht fast ein Jahr

    Landendes Flugeug

    Ein gravierender Konfigurationsfehler erlaubte freien Zugriff auf die Server-Backups des Stewart International Airport. Sogar Zugangsdaten zum Passagiermanagementsystem waren öffentlich einsehbar.

  1. Clintongate

    Die Email-Affäre der demokratischen US-Präsidentschaftsanwärterin Hillary Clinton könnte ihre politische Karriere abrupt beenden

  2. Eclipse Che – die IDE der Zukunft?

    Eclipse Che – die IDE der Zukunft?

    Nach etwa zwei Jahren Entwicklung hat die Browser-IDE Eclipse Che Anfang 2016 die Beta-Phase verlassen. Ein guter Zeitpunkt, sich die Unterschiede zum traditionellen Eclipse und die Features von Che anzuschauen.

  3. Docker for AWS lokal steuern

    Mit Docker for AWS fällt das Einrichten eines Docker-Swarm-Clusters in der Cloud leicht. Allerdings lässt sich Docker von Haus aus nur lokal ansprechen, man muss sich also stets zunächst per SSH anmelden, was einige Nachteile mit sich bringt. Wie lässt sich das besser lösen?

  1. Mobilfunkanbieter: Nachfrage bei iPhone 8 "kraftlos"

    iPhone 8

    Spekulationen über eine Halbierung der iPhone-8-Produktion haben Apples Aktienkurs am Donnerstag nach unten gezogen. Ein großer Mobilfunkanbieter bezeichnete die Nachfrage des neuen Modells als “kraftlos”.

  2. Künstliche Intelligenz: AlphaGo Zero übertrumpft AlphaGo ohne menschliches Vorwissen

    Künstliche Intelligenz: AlphaGo Zero übertrumpft AlphaGo ohne menschliches Vorwissen

    Im asiatischen Strategiespiel Go hat das Programm AlphaGo der Google-Tochter DeepMind in diesem Jahr den stärksten menschlichen Profispieler besiegt. Eine neue Version hat das Spiel jetzt ohne menschliches Vorwissen gelernt und spielt noch stärker.

Anzeige