Accenture speichert vertrauliche Daten auf ungesicherten Cloud-Servern

Es handelt sich um vier von Amazon gehostete Server. Sie sind frei für jeden über das Internet erreichbar. Der Sicherheitsforscher Chris Vickery findet darauf unverschlüsselte Passwörter. Auf einem Server liegt zudem ein Master Key, mit dem sich alle verschlüsselten Daten entschlüsseln lassen.

Accenture, das einen großen Teil der Fortune-100-Unternehmen zu seinen Kunden zählt, hat versehentlich vier vollkommen ungesicherte Cloud-Server zur Speicherung vertraulicher Daten benutzt. Der Sicherheitsforscher Chris Vickery, Direktor für Cyber Risk Research beim Sicherheitsanbieter UpGuard, entdeckte die Daten Mitte September und informierte das Unternehmen. Die Server wurden demnach bereits am nächsten Tag abgesichert.

Datenschutz in der Cloud (Bild: Shutterstock)Bis dahin waren die auf den vier von Amazon gehosteten Servern gespeicherten Daten jedoch ohne Passwortabfrage für jeden frei verfügbar, der die Web-Adresse der Server kannte. Unter anderem wurden dadurch Kundenpasswörter und Entschlüsselungsschlüssel kompromittiert. Wären diese Daten in falsche Hände geraten, wäre Accenture und seinen Kunden wahrscheinlich ein erheblicher Schaden entstanden.

Im Gespräch mit ZDNet USA bezeichnete Vickery die Informationen als „den Schlüssel zum Königreich“. Unter anderem befanden sich auf den Servern private Schlüssel, mit denen Dritte in der Lage gewesen wären, sich als Accenture auszugeben. Zudem waren einige Passwörter im Klartext abgelegt.

Darüber hinaus gab ein Server Accentures Master Key für das Key Management System (KMS) von Amazon Web Services preis. Dieser Schlüssel hätte einem Angreifer die vollständige Kontrolle über alle verschlüsselten Daten gegeben, die Accenture auf Amazon-Servern gespeichert hat.

Der Sicherheitsexperte Kenneth White sagte, schlimmer könne es für einen Cloud-Anbieter nicht werden. „Was auch immer durch diesen KMS Master Key geschützt wurde muss als vollständig kompromittiert angesehen werden“, sagte er.

Ein anderer Server enthielt einen Ordner mit Schlüssel und Zertifikaten, mit denen sich der Traffic zwischen Accenture und seinen Kunden entschlüsseln lässt. Andere Schlüssel stammten laut Vickery von Googles Cloud Platform beziehungsweise von Microsoft Azure und hätten einem Angreifer auch den Zugriff auf dort gespeicherte Daten gewährt. Schlüssel für Accentures Virtual Private Network wiederum hätten einen Zugang zum internen Netzwerk des Unternehmens geöffnet.

Wie viele Daten insgesamt kompromittiert wurden, ist nicht bekannt. Auf dem größten Server fand Vickery mehr als 137 GByte Daten, darunter Datenbanken mit Anmeldedaten von Accenture-Kunden. Eine Backup-Datenbank enthielt alleine 40.000 Passwörter, von denen die meisten im Klartext vorlagen.

Accenture räumte auf Nachfrage von ZDNet USA den Datenverlust ein. Eine erste Stellungnahme, wonach keine Daten von Kunden betroffen seien, nahm das Unternehmen später wieder mit dem Hinweis zurück, die Ermittlungen seien noch nicht abgeschlossen. E-Mail-Adressen und Passwörter in der Datenbank seien mehr als zweieinhalb Jahre alt und für ein inzwischen stillgelegtes System.

Zudem betonte Accenture, dass die Systeme nur einen nicht befugten Zugriff aufgezeichnet hätten. Die IP-Adresse gehöre zu dem Sicherheitsforscher, der Accenture über den Fehler informiert habe.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Accenture, Amazon, Authentifizierung, Cloud-Computing, Security, Server, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Accenture speichert vertrauliche Daten auf ungesicherten Cloud-Servern

Kommentar hinzufügen
  • Am 11. Oktober 2017 um 17:16 von C

    So viel zum Thema IT-Dienstleister, Public Cloud & Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *