Accenture potentiellement victime d’une fuite de données suite à l’exposition de plusieurs espaces de stockage S3 d’Amazon Web Services

Un chercheur en sécurité d’UpGuard, Chris Vickery a découvert 4 serveurs Amazon Web Services (AWS) appartenant à Accenture exposant des données sensibles sur internet sans authentification.

Le plus gros des serveurs contenait plus de 137 giga-octets de données, parmi lesquelles des bases de données contenant des identifiants de connexion et des mots de passe, des API confidentielles, des données client, des clefs de déchiffrement ainsi que des certificats de sécurité.

Il était ainsi possible d’accéder à 40 000 mots de passe dans une base de données de sauvegarde, dont la majorité étaient stockés en clair, mais également à plusieurs logiciels liés à l’offre Cloud d’Accenture.

L'un des serveurs contenait des clés d'accès à Enstratus, une plate-forme de gestion de l'infrastructure cloud, dont Vickery a expliqué qu'elle pourrait potentiellement contribuer à accéder aux données d'autres outils utilisés par la plateforme.

Le chercheur a par ailleurs souligné que si un attaquant avait accédé à ces données, il aurait pu s’en servir pour attaquer aussi bien Accenture que ses clients, en particulier via l’utilisation du logiciel Accenture Cloud Platform.

Vickery a immédiatement informé Accenture suite à la découverte des données, et l'entreprise a sécurisé ses serveurs le jour suivant.

Cependant, l’impact reste dur à évaluer selon Vickery, car les données accessibles publiquement depuis des URL auraient pu impacter à la fois Accenture et des milliers de grandes entreprises, causant des dommages financiers majeurs.

Plus spécifiquement, un attaquant malveillant aurait pu utiliser les clés de sécurité et les certificats pour se faire passer pour l'entreprise, ce qui aurait pu lui permettre de s’infiltrer discrètement sur le réseau informatique de l’entreprise et d’exfiltrer des données. En outre, les mots de passe exposés pourraient avoir été réutilisés sur d’autres plateformes externes ou au sein du réseau interne de la société, permettant à l’attaquant de gagner un accès à celles-ci.

Accenture n'est que l'une des nombreuses sociétés ayant exposé des données client sensibles en raison d'une mauvaise configuration d'un serveur cloud AWS S3. Verizon avait récemment exposé sur internet les données de 14 millions de clients de la même manière.