Adviesbedrijf Accenture heeft grote hoeveelheden bedrijfs- en klantgegevens gelekt. Oorzaak van het incident was het ontbreken van een beveiliging bij de cloudopslag van vier Amazon Web Services (AWS) S3 storage buckets.
Deze Simple Storage Service (S3) buckets waren zo ingesteld dat iedereen de gegevens ervan via internet gemakkelijk kon inzien. Het enige wat derden hiervoor nodig hadden, was de juiste URL. Securityonderzoeker Chris Vickery van UpGuard heeft dit op 17 september ontdekt.
Configuratie
Standaard zijn S3-buckets zo geconfigureerd dat ze niet zomaar voor iedereen te benaderen zijn. Eenmaal op de hoogte van het datalek heeft Accenture de beveiliging op orde gebracht. Verschillende organisaties gebruiken S3 van AWS om uiteenlopende data mee te bewaren.
Interne bedrijfsgegevens
Op de vier onbeveiligde S3-buckets van Accenture bevonden zich gegevens van Amazon, Google en Microsoft. Hierbij ging het onder meer om inloggegevens, privésleutels, VPN-sleutels, gehashte wachtwoorden, 40.000 wachtwoorden die niet waren geëncrypt en om gegevens over klanten. In één van de S3-buckets was 137 GB aan gegevens opgeslagen.