Accenture deja expuestos cuatro servidores con información sensible sobre la compañía y sus clientes

El pasado 17 de septiembre, el director del departamento de investigación de ciberamenazas Chris Vickery, descubrió cuatro instancias de Amazon Web Services (AWS) expuestas sin ningún tipo de protección. Los servidores en la nube eran propiedad de Accenture, una importante empresa dedicada a dar servicios de consultoría y outsourcing tecnológico.

Cualquiera que tuviera la dirección web de estos servidores tenía acceso a todo tipo de información relacionada con su plataforma en la nube: Accenture Cloud Platform. Credenciales, certificados, claves criptográficas y datos privados sobre sus clientes estuvieron al descubierto por una mala configuración de la plataforma de Amazon. 

Las cuatro instancias de AWS estaban administradas por el usuario ‘awsacp0175’ y se correspondían con los subdominios:

• acp-deployment, que contenía credenciales para servicios de uso interno, ficheros de configuración y un fichero en texto plano con la clave para acceder al administrador de ‘Amazon Web Services’.

• acpcollector, contenía información de mantenimiento, claves de la VPN y logs de eventos y operaciones realizadas por Accenture en los distintos servidores.

Contenido de acpcollector (Fuente: https://www.upguard.com)

• acp-software, contenía dumps de cientos de gigas con claves de acceso, correos electrónicos privados, registros sobre eventos e incidentes, IDs JSession y credenciales de acceso a las cuentas de Google y Azure de Accenture. Además se consiguieron recuperar alrededor de 40.000 contraseñas en texto plano de una copia de seguridad almacenada en esta misma máquina.

• acp-ssl, utilizado como almacén de claves contenía credenciales y claves criptográficas que se suponen para desencriptar las comunicaciones entre Accenture y sus clientes.

Clientes Accenture (Fuente: https://www.upguard.com)