jueves, 12 de octubre de 2017

Accenture deja expuestos cuatro servidores con información sensible sobre la compañía y sus clientes

El pasado 17 de septiembre, el director del departamento de investigación de ciberamenazas Chris Vickery, descubrió cuatro instancias de Amazon Web Services (AWS) expuestas sin ningún tipo de protección. Los servidores en la nube eran propiedad de Accenture, una importante empresa dedicada a dar servicios de consultoría y outsourcing tecnológico.

Cualquiera que tuviera la dirección web de estos servidores tenía acceso a todo tipo de información relacionada con su plataforma en la nube: Accenture Cloud Platform. Credenciales, certificados, claves criptográficas y datos privados sobre sus clientes estuvieron al descubierto por una mala configuración de la plataforma de Amazon. 


Las cuatro instancias de AWS estaban administradas por el usuario 'awsacp0175' y se correspondían con los subdominios:


  • acp-deployment, que contenía credenciales para servicios de uso interno, ficheros de configuración y un fichero en texto plano con la clave para acceder al administrador de 'Amazon Web Services'.
  • acpcollector, contenía información de mantenimiento, claves de la VPN y logs de eventos y operaciones realizadas por Accenture en los distintos servidores.
Contenido de acpcollector (Fuente: https://www.upguard.com)

  • acp-softwarecontenía dumps de cientos de gigas con claves de acceso, correos electrónicos privados, registros sobre eventos e incidentes, IDs JSession y credenciales de acceso a las cuentas de Google y Azure de Accenture. Además se consiguieron recuperar alrededor de 40.000 contraseñas en texto plano de una copia de seguridad almacenada en esta misma máquina.
  • acp-ssl, utilizado como almacén de claves contenía credenciales y claves criptográficas que se suponen para desencriptar las comunicaciones entre Accenture y sus clientes.
Clientes Accenture (Fuente: https://www.upguard.com)


Aunque los servidores fueron asegurados al día siguiente de dar el aviso, la información expuesta, en malas manos podría haber sido utilizada para realizar otros ataques dirigidos hacia la propia compañía o a sus clientes. 

Accenture sin embargo, defiende en un comunicado a eWEEK que ninguno de sus clientes está en riesgo y que la información expuesta no podría ser utilizada para acceder a sus sistemas.



Francisco Salido
fsalido@hispasec.com

Más información:

System Shock: How A Cloud Leak Exposed Accenture's Business
https://www.upguard.com/breaches/cloud-leak-accenture

UpGuard Reports Accenture Data Exposure, Debuts Risk Detection Service
http://www.eweek.com/security/upguard-reports-accenture-data-exposure-debuts-risk-detection-service