您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Accenture在雲端儲存未加密客戶資料及金鑰資訊

研究人員發現知名系統整合商Accenture將大量資料及Amazon Web Service (AWS)系統金鑰,放在未以密碼保護的雲端伺服器上,陷公司資料於外洩風險之中。安全公司UpGuard網路風險研究總監Chris Vickery於9/17發現Accenture在Amazon Web Service (AWS) S3儲存服務上的雲端伺服器,至少有4台未以密碼防護而公開在網路上。一旦路徑被發現,即可能導致大量資料被人免費下載,資料內容包含API資料、身份驗證資料、憑證、解密金鑰、客戶資料等等。進一步分析發現,這些資料隸屬於Accenture企業雲端產品Accenture Cloud Platform,這是一個多雲的管理平台,用戶包括全球百大企業中的94家,以及全球500大企業中的2/3。 

這4台伺服器中,最大的伺服器檔案高達137GB,包含疑為Accenture客戶的帳密資料庫。還有近4萬筆以明碼儲存的密碼。此外,Accenture的AWS中的金鑰管理系統(Key Management System)的主金鑰也在其中,可導致攻擊者取得該公司AWS中所有加密資料的存取權。研究人員表示,一旦這些資料外流,駭客即可針對Accenture客戶進行第二波重大攻擊。經研究人員通知後,Accenture在隔日已立即將4台伺服器加上防護。 

但在被發現之前究竟有多少資料外洩,Accenture僅低調表示這批資料僅佔該公司雲端服務資料不到1%,而且完全沒有公司客戶資訊,對客戶未造成任何風險。這是最新一宗AWS上差點(或可能已經)發生的重大資料外洩。在此之前,已有美國2億選民資料、軍事衛星情資及600多萬Verizon用戶資料接連因為AWS設定疏失而全部公開在網路上。

Reference

資料來源:
https://www.upguard.com/breaches/cloud-leak-accenture
https://www.engadget.com/2017/10/10/accenture-four-servers-sensitive-data-unprotected/
https://www.ithome.com.tw/news/117337
國家資通安全會報技術服務中心整理

Publish Date
2017/10/31 0:00:00