Accenture speichert vertrauliche Daten auf ungesicherten Cloud-Servern

Accenture, das einen großen Teil der Fortune-100-Unternehmen zu seinen Kunden zählt, hat versehentlich vier vollkommen ungesicherte Cloud-Server zur Speicherung vertraulicher Daten benutzt. Der Sicherheitsforscher Chris Vickery, Direktor für Cyber Risk Research beim Sicherheitsanbieter UpGuard, entdeckte die Daten Mitte September und informierte das Unternehmen. Die Server wurden demnach bereits am nächsten Tag abgesichert.

Bis dahin waren die auf den vier von Amazon gehosteten Servern gespeicherten Daten jedoch ohne Passwortabfrage für jeden frei verfügbar, der die Web-Adresse der Server kannte. Unter anderem wurden dadurch Kundenpasswörter und Entschlüsselungsschlüssel kompromittiert. Wären diese Daten in falsche Hände geraten, wäre Accenture und seinen Kunden wahrscheinlich ein erheblicher Schaden entstanden.

Im Gespräch mit ZDNet USA bezeichnete Vickery die Informationen als „den Schlüssel zum Königreich“. Unter anderem befanden sich auf den Servern private Schlüssel, mit denen Dritte in der Lage gewesen wären, sich als Accenture auszugeben. Zudem waren einige Passwörter im Klartext abgelegt.

Darüber hinaus gab ein Server Accentures Master Key für das Key Management System (KMS) von Amazon Web Services preis. Dieser Schlüssel hätte einem Angreifer die vollständige Kontrolle über alle verschlüsselten Daten gegeben, die Accenture auf Amazon-Servern gespeichert hat.

Der Sicherheitsexperte Kenneth White sagte, schlimmer könne es für einen Cloud-Anbieter nicht werden. „Was auch immer durch diesen KMS Master Key geschützt wurde muss als vollständig kompromittiert angesehen werden“, sagte er.

Ein anderer Server enthielt einen Ordner mit Schlüssel und Zertifikaten, mit denen sich der Traffic zwischen Accenture und seinen Kunden entschlüsseln lässt. Andere Schlüssel stammten laut Vickery von Googles Cloud Platform beziehungsweise von Microsoft Azure und hätten einem Angreifer auch den Zugriff auf dort gespeicherte Daten gewährt. Schlüssel für Accentures Virtual Private Network wiederum hätten einen Zugang zum internen Netzwerk des Unternehmens geöffnet.

Wie viele Daten insgesamt kompromittiert wurden, ist nicht bekannt. Auf dem größten Server fand Vickery mehr als 137 GByte Daten, darunter Datenbanken mit Anmeldedaten von Accenture-Kunden. Eine Backup-Datenbank enthielt alleine 40.000 Passwörter, von denen die meisten im Klartext vorlagen.

Accenture räumte auf Nachfrage von ZDNet USA den Datenverlust ein. Eine erste Stellungnahme, wonach keine Daten von Kunden betroffen seien, nahm das Unternehmen später wieder mit dem Hinweis zurück, die Ermittlungen seien noch nicht abgeschlossen. E-Mail-Adressen und Passwörter in der Datenbank seien mehr als zweieinhalb Jahre alt und für ein inzwischen stillgelegtes System.

Zudem betonte Accenture, dass die Systeme nur einen nicht befugten Zugriff aufgezeichnet hätten. Die IP-Adresse gehöre zu dem Sicherheitsforscher, der Accenture über den Fehler informiert habe.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.