Potenzieller Datenabfluss: Sicherheitsvorfall bei Accenture

Accenture bestätigt, dass es einen Cyberangriff auf das Unternehmen gab und betont, die dabei ausgenutzte Lücke inzwischen geschlossen zu haben. Betrieb und Servicebereitstellung seien nicht beeinträchtigt. Unterdessen bietet ein Hacker rund 35 GB an Quellcode und Zugangsdaten an.

(Foto: ArtemisDiana - GettyImages)

Nach Berichten über einen Hackerangriff hat Accenture jetzt eingeräumt, dass es Opfer eines entsprechenden Sicherheitsvorfalls geworden ist. Weiter erklärt der IT-Dienstleister, dass die Schwachstelle bereits behoben worden sei und betont, dass der Angriff keinerlei Auswirkungen auf seinen Betrieb und die Bereitstellung seiner Services habe. "Wir sind uns dieses isolierten Vorfalls bewusst und haben dessen Ursache behoben. Es gibt keine Auswirkungen auf den Betrieb und die Servicebereitstellung von Accenture", so das Unternehmen in einer schriftlichen Stellungnahme auf eine Anfrage von CRN.

Weitere Details zum Angriff, seiner Ursache und dem möglichen Schaden nennt das Unternehmen jedoch nicht. Damit bleibt bei aller Beschwichtigung der wichtigste für Partner und Kunden Punkt offen: Ob bei dem Vorfall Daten entwendet wurden und wenn ja, um welche Arten von Daten es sich dabei handelt. Immerhin war der Fall nur an die Öffentlichkeit gekommen, nachdem Anfang vergangener Woche in einem Cybercrime-Forum im Darknet ein Angebot über 35 GB an Daten aufgetaucht war, die bei dem Raubzug gestohlen worden sein sollen.

Der Anbieter, der sich als "888" bezeichnet, behauptet, dass es sich dabei sowohl um Quellcode als auch um zugehörige sensible Credentials wie RSA- und SSH-Schlüssel, Azure-PATs (Personal Access Tokens), Zugriffsschlüssel für Azure Storage sowie Konfigurationsdateien handeln soll. Als Beweis soll er unter anderem einen Screenshot mit Azure DevOps verknüpften Befehlszeilenausgabe vorgelegt haben, die unter anderem eine Curl-Anfrage an einen Endpunkt unter dev.azure.com enthält, gefolgt von einem Git-Clone. Dessen Ausgabe soll den direkten Zugriff auf ein privates Repository belegen und unter anderem Projektmetadaten, Sichtbarkeitskennzeichen und Remote-URLs für Azure Repos enthalten, die zu einer Produktions-URL auf accenture.com gehören. Zudem bietet er interessierten Käufern vorab eine kostenlose Probe einiger Daten an. Darüber hinaus ist es nicht der erste Angriff auf Accenture, der dem Hacker zugeschrieben wird. Er soll 2024 über einen Drittanbieter schon einmal Mitarbeiterdaten von Accenture erbeutet und diese anschließend zum Verkauf angeboten haben.

Datenklau, laterale Bewegung und Lieferkettenrisiken möglich

Sollten seine Angaben zutreffend sein, gehört zu den möglichen Risiken des Datenabflusses Security-Experten zufolge der unbefugte Zugriff auf aktive Cloud-Ressourcen und Dienste über gestohlene Azure-Token und Speicherschlüssel. Zudem könnten Build-Prozesse, Bereitstellungslogiken und interne Tools über den Zugriff auf CI/CD-Workflows kompromittiert werden. Neben den unmittelbaren Risiken des unbefugten Zugriffs könnte demnach auch ein mittelfristiges Lieferkettenrisiko für Partner und Kunden entstehen, wenn die Angreifer über den Quellcode und Konfigurationsdateien Sicherheitslücken in den von ihnen eingesetzten Lösungen entdecken und ausnutzen.

Solange es genaueren Informationen zu den möglicherweise betroffenen Daten gibt, empfehlen einige Sicherheitsexperten deshalb, entsprechende Typen und Gruppen von Daten vorsichtshalber als unbestätigt zu betrachten. Zudem sollten Unternehmen und Organisationen im Hinblick auf Azure DevOps ihre Richtlinien zur PAT-Gültigkeit sowie die Zugriffsprotokolle der Repositorys und die Berechtigungseinstellungen überprüfen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden