信息來源：企業(yè)網(wǎng)

繼上月末四大咨詢公司之一的德勤被黑后，另一家咨詢公司埃森哲也被爆出安全問題。

        安全公司UpGuard發(fā)現(xiàn)，埃森哲的部分業(yè)務(wù)數(shù)據(jù)被放在了公開的Amazon S3 bucket服務(wù)器上

UpGuard發(fā)現(xiàn)，4個(gè)云存儲(chǔ)服務(wù)器上的數(shù)據(jù)沒有受到密碼保護(hù)。任何擁有 web 服務(wù)器地址的人都可以下載其中存儲(chǔ)的數(shù)據(jù)，其中包括密鑰，API信息和客戶信息等。

這四個(gè)bucket包括：

        acp-deployment包含內(nèi)部訪問密鑰，埃森哲身份API使用的憑據(jù)，包含Amazon Web Services密鑰管理服務(wù)帳戶的主訪問密鑰的明文文檔以及私有簽名密鑰。

acpcollector包含與埃森哲云存儲(chǔ)維護(hù)有關(guān)的數(shù)據(jù)，包括公司私有網(wǎng)絡(luò)的VPN密鑰和云生態(tài)系統(tǒng)的視圖。

        acp-software是一個(gè)137 GB的bucket，最大的一個(gè)，包含Accenture客戶端憑據(jù)的數(shù)據(jù)庫轉(zhuǎn)儲(chǔ)，散列密碼和40,000個(gè)明文密碼。它還包括Accenture的Enstratus云管理平臺(tái)的訪問密鑰和Zenoss事件跟蹤系統(tǒng)的數(shù)據(jù)，包括JSession ID，如果沒有過期，可以將其插入到cookies中以繞過身份驗(yàn)證。

        acp-ssl包含提供許多埃森哲環(huán)境的加密密鑰存儲(chǔ)。名為“acp.aws.accenture.com”的文件夾中的更多密鑰存儲(chǔ)庫，以及可用于解密埃森哲與客戶端之間流量的證書。

        “總而言之，這些暴露bucket的重要性不容小覷。如果被黑客利用，這些云服務(wù)器可能被任何用戶訪問，這可能會(huì)使埃森哲和其數(shù)以千計(jì)的頂尖企業(yè)客戶面臨惡意攻擊，而這些攻擊可能造成無數(shù)次的財(cái)務(wù)損失。“

影響范圍

        這一事件的影響有多大呢？

        據(jù)統(tǒng)計(jì)，2015年埃森哲在55個(gè)國家、200多個(gè)城市有超過38萬4千名員工，營(yíng)業(yè)額約329億美元，是世界上最大的管理咨詢公司，其客戶包括《財(cái)富》世界500強(qiáng)中超過八成的跨國公司、各國政府機(jī)構(gòu)以及軍隊(duì)。

        好在UpGuard 在發(fā)現(xiàn)這些暴露數(shù)據(jù)之后，馬上就通知了 Accenture。Accenture 也馬上采取了安全應(yīng)對(duì)措施。并且 Accenture 還表示，UpGuard 是唯一一個(gè)未授權(quán)條件下訪問公司服務(wù)器的訪問者。

        全球四大會(huì)計(jì)師事務(wù)所之一的Deloitte（德勤）遭到網(wǎng)絡(luò)攻擊，導(dǎo)致其全球電子郵件服務(wù)器被入侵。德勤被曝出“大量RDP端口對(duì)外”“一個(gè)帳號(hào)全線入侵”“員工將VPN密碼上傳Github”等低級(jí)風(fēng)險(xiǎn)，而它的安全咨詢業(yè)務(wù)卻被Gartner評(píng)為全球第一。

云服務(wù)器成泄密新途徑

        同樣遭到亞馬遜“出賣”的還有美國的醫(yī)療機(jī)構(gòu)。

        Kromtech安全中心的研究人員發(fā)現(xiàn)47.5 GB數(shù)據(jù)緩存，這些數(shù)據(jù)能夠輕易訪問，其中包括316,363個(gè)PDF報(bào)告；每位患者每周測(cè)試結(jié)果共約20個(gè)文件。每個(gè)文件都不是匿名的，每個(gè)文件都以病人的名字命名，包括測(cè)試日期，家庭住址，電話號(hào)碼和測(cè)試詳細(xì)信息，甚至包括醫(yī)生的姓名和病例管理筆記。這無疑是黑客的重大福利。

        Kromtech在一篇博客中表示，數(shù)據(jù)庫連接到的似乎是一家患者家庭監(jiān)測(cè)公司，該公司通過患者自檢試劑盒進(jìn)行每周血塊藥物測(cè)試，這樣病人就不用去醫(yī)生辦公室。研究人員表示，盡管沒有對(duì)Kromtech做出回應(yīng)，但該公司在Kromtech通知了該問題后的一天內(nèi)將該數(shù)據(jù)庫設(shè)為私密。由于HIPAA違規(guī)通知規(guī)則，現(xiàn)在的法律要求被泄密的公司通知受影響的患者。

        Kromtech戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk說：“對(duì)于那些想要彌合醫(yī)療保健和技術(shù)之間差距，讓網(wǎng)絡(luò)安全變成業(yè)務(wù)模型的公司來說，這又是一次警鐘。 “即使是最基本的安全措施也可以防止這種數(shù)據(jù)泄露。不幸的是，還有更多的數(shù)據(jù)庫和云存儲(chǔ)庫沒有被發(fā)現(xiàn)。