網(wǎng)絡(luò)安全公司UpGuard網(wǎng)絡(luò)風(fēng)險小組發(fā)現(xiàn)，全球最大管理咨詢公司埃森哲（Accenture）因亞馬遜S3存儲服務(wù)器配置不當(dāng)導(dǎo)致大量敏感數(shù)據(jù)暴露在網(wǎng)上，至少有4臺云存儲服務(wù)器中的數(shù)據(jù)可供公開下載。

暴露的數(shù)據(jù)包括API數(shù)據(jù)、身份驗(yàn)證憑證、證書、加密密鑰、客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的其它更多數(shù)據(jù)。

這4臺存在安全問題的服務(wù)器的數(shù)據(jù)似乎屬于埃森哲企業(yè)云服務(wù)“埃森哲云平臺”（Accenture Cloud Platform）——埃森哲客戶使用的“多云管理平臺”。

埃森哲客戶包含94家《財(cái)富》世界100強(qiáng)企業(yè)和超過四分之三的《財(cái)富》世界500強(qiáng)企業(yè)。如果泄露的數(shù)據(jù)有效，攻擊者可能會利用這些數(shù)據(jù)對這些客戶發(fā)起攻擊。CSTAR（UpGuard的專有網(wǎng)絡(luò)風(fēng)險評分系統(tǒng)）對這起泄露事件的網(wǎng)絡(luò)風(fēng)險評分為790（總分950）。這起數(shù)據(jù)泄露表明，即使最先進(jìn)、安全的企業(yè)也可能會將重要數(shù)據(jù)暴露在網(wǎng)上，造成嚴(yán)重后果。

2017年9月17日，UpGuard網(wǎng)絡(luò)風(fēng)險研究主管Chris Vickery（克里斯·維克里）發(fā)現(xiàn)不安全的亞馬遜S3存儲桶，任何人將存儲桶網(wǎng)頁地址輸入瀏覽器就能公開訪問、下載。

9月18日研究人員粗略分析后發(fā)現(xiàn)，4個存儲桶（acp-deployment、acpcollector、acp-software和acp-ssl）暴露了埃森哲的內(nèi)部重要數(shù)據(jù)，包括云平臺憑證和配置文件。Vickery通知了埃森哲，問題第二天得以解決。

4臺服務(wù)器包含“埃森哲云平臺”的高度敏感數(shù)據(jù)，平臺內(nèi)部運(yùn)作以及使用該平臺的客戶。服務(wù)器賬號名為“awsacp0175”，這可能說明存儲桶的來源。

“acp-deployment”的大部分存儲內(nèi)容為 “身份API”（Identity API）使用的內(nèi)部訪問密鑰和憑證。服務(wù)器內(nèi)名為“Secure Store”的文件夾不僅包含Identity API的配置文件，還包含埃森哲AWS密鑰管理服務(wù)賬號的主訪問密鑰，以及數(shù)量不明的登錄憑證。此外服務(wù)器還包含大量“client.jks”文件，有些數(shù)據(jù)可能是解密文件必需的明文密碼。目前尚不清楚“clients.jks”中哪些密鑰能用來訪問數(shù)據(jù)。除此之外，這些文件還暴露了私人簽名密鑰。

“acpcollector”服務(wù)器似乎包含訪問及維護(hù)埃森哲云存儲的必要數(shù)據(jù)。此服務(wù)器包含埃森哲專用網(wǎng)絡(luò)使用的VPN密鑰，潛在暴露了埃森哲云生態(tài)系統(tǒng)的概況。該服務(wù)器還包含羅列每個云實(shí)例中的事件日志，惡意攻擊者借此可洞察埃森哲的運(yùn)營。

“acp-software”是最大的服務(wù)器，包含多達(dá)137 GB的數(shù)據(jù)。大型數(shù)據(jù)庫中包含登錄憑證，其中一些數(shù)據(jù)庫似乎包含某些客戶的信息。雖然其中包含的許多密碼經(jīng)過哈希處理，但Vicky還發(fā)現(xiàn)一個備份數(shù)據(jù)庫包含近4萬個明文密碼。云基礎(chǔ)設(shè)施管理平臺Enstratus的訪問密鑰也被暴露，潛在泄露了Enstratus協(xié)調(diào)其它工具的數(shù)據(jù)。埃森哲ASGARD數(shù)據(jù)庫和埃森哲內(nèi)部電子郵件信息也包含在這個服務(wù)器之中。該服務(wù)器還包含埃森哲使用的Zenoss事件追蹤器，暴露了新用戶加入時的事件、IP地址記錄和JSession ID。

服務(wù)器文件夾中還包含埃森哲Google和 Azure賬號憑證，這說明能用來獲取進(jìn)一步的訪問權(quán)并控制埃森哲資產(chǎn)。

“acp-ssl”服務(wù)器包含文件夾“acp.aws.accenture.com.”，其中包含更多密鑰---似乎是用來訪問各種埃森哲環(huán)境的密鑰，例如其中一個名稱為“云文件存儲密鑰”。從理論上講，大量私鑰和憑證可用來解密埃森哲與客戶之間的流量，潛在收集敏感信息。

這些數(shù)據(jù)一旦落入威脅攻擊者之手，這些云服務(wù)器可能會將埃森哲及其數(shù)千個知名企業(yè)客戶置于惡意攻擊的風(fēng)險之中，可能會造成不可估量的經(jīng)濟(jì)損失。

惡意攻擊者可能已使用暴露的密鑰冒充埃森哲，悄悄進(jìn)入公司IT環(huán)境收集更多信息。黑客也可能會發(fā)起“撞庫攻擊”。

埃森哲向外媒表示，泄露的數(shù)據(jù)不到公司云服務(wù)的0.5%，客戶信息未遭到泄露，并提到公司方面設(shè)置了多層安全模式。

目前事件仍在調(diào)查之中。

首次報(bào)告AWS服務(wù)器泄露之后，埃森哲公司立即做了處理。發(fā)言人稱公司會繼續(xù)進(jìn)行取證審查，但數(shù)據(jù)庫中包含的電子郵件和密碼是超過兩年半的信息，其中的信息是埃森哲廢棄系統(tǒng)的用戶。