繼上月末四大咨詢公司之一的德勤被黑后，另一家咨詢公司埃森哲也被爆出安全問題。

安全公司UpGuard發(fā)現，埃森哲的部分業(yè)務數據被放在了公開的Amazon S3 bucket服務器上

UpGuard發(fā)現，4個云存儲服務器上的數據沒有受到密碼保護。任何擁有 web 服務器地址的人都可以下載其中存儲的數據，其中包括密鑰，API信息和客戶信息等。

　　這四個bucket包括：

acp-deployment包含內部訪問密鑰，埃森哲身份API使用的憑據，包含Amazon Web Services密鑰管理服務帳戶的主訪問密鑰的明文文檔以及私有簽名密鑰。

acpcollector包含與埃森哲云存儲維護有關的數據，包括公司私有網絡的VPN密鑰和云生態(tài)系統的視圖。

acp-software是一個137 GB的bucket，最大的一個，包含Accenture客戶端憑據的數據庫轉儲，散列密碼和40,000個明文密碼。它還包括Accenture的Enstratus云管理平臺的訪問密鑰和Zenoss事件跟蹤系統的數據，包括JSession ID，如果沒有過期，可以將其插入到cookies中以繞過身份驗證。

acp-ssl包含提供許多埃森哲環(huán)境的加密密鑰存儲。名為“acp.aws.accenture.com”的文件夾中的更多密鑰存儲庫，以及可用于解密埃森哲與客戶端之間流量的證書。

“總而言之，這些暴露bucket的重要性不容小覷。如果被黑客利用，這些云服務器可能被任何用戶訪問，這可能會使埃森哲和其數以千計的頂尖企業(yè)客戶面臨惡意攻擊，而這些攻擊可能造成無數次的財務損失。“

影響范圍

這一事件的影響有多大呢？

據統計，2015年埃森哲在55個國家、200多個城市有超過38萬4千名員工，營業(yè)額約329億美元，是世界上最大的管理咨詢公司，其客戶包括《財富》世界500強中超過八成的跨國公司、各國政府機構以及軍隊。

好在UpGuard 在發(fā)現這些暴露數據之后，馬上就通知了 Accenture。Accenture 也馬上采取了安全應對措施。并且 Accenture 還表示，UpGuard 是唯一一個未授權條件下訪問公司服務器的訪問者。

全球四大會計師事務所之一的Deloitte（德勤）遭到網絡攻擊，導致其全球電子郵件服務器被入侵。德勤被曝出“大量RDP端口對外”“一個帳號全線入侵”“員工將VPN密碼上傳Github”等低級風險，而它的安全咨詢業(yè)務卻被Gartner評為全球第一。

云服務器成泄密新途徑

同樣遭到亞馬遜“出賣”的還有美國的醫(yī)療機構。

Kromtech安全中心的研究人員發(fā)現47.5 GB數據緩存，這些數據能夠輕易訪問，其中包括316,363個PDF報告；每位患者每周測試結果共約20個文件。每個文件都不是匿名的，每個文件都以病人的名字命名，包括測試日期，家庭住址，電話號碼和測試詳細信息，甚至包括醫(yī)生的姓名和病例管理筆記。這無疑是黑客的重大福利。

Kromtech在一篇博客中表示，數據庫連接到的似乎是一家患者家庭監(jiān)測公司，該公司通過患者自檢試劑盒進行每周血塊藥物測試，這樣病人就不用去醫(yī)生辦公室。研究人員表示，盡管沒有對Kromtech做出回應，但該公司在Kromtech通知了該問題后的一天內將該數據庫設為私密。由于HIPAA違規(guī)通知規(guī)則，現在的法律要求被泄密的公司通知受影響的患者。

Kromtech戰(zhàn)略聯盟副總裁Alex Kernishniuk說：“對于那些想要彌合醫(yī)療保健和技術之間差距，讓網絡安全變成業(yè)務模型的公司來說，這又是一次警鐘。 “即使是最基本的安全措施也可以防止這種數據泄露。不幸的是，還有更多的數據庫和云存儲庫沒有被發(fā)現。