Vertrauliche Daten von Accenture auf ungeschützten Webservern

Der Consulting-Firma Accenture ist ein schwerer Sicherheitspatzer passiert: Auf mindestens vier Servern in Amazons AWS-Cloud hatte das Unternehmen hunderte Gigabyte an vertraulichen Daten ohne Passwortschutz und größtenteils unverschlüsselt ins Netz gestellt, wie Sicherheitsforscher der Firma Upguard feststellten. Den Forschern zufolge hätten Fremde etwa Zugangsdaten zum Cloud-Service der Beraterfirma, Zertifikatsdaten, VPN-Schlüssel und allerhand Informationen über Kunden abgreifen können. Auch Accentures Masterkey für den AWS-Dienst sowie Zugangsdaten für Accounts der Firma bei Google und Microsofts Azure wären wohl gefährdet gewesen.

Zwar sei immerhin ein Großteil der Passwörter gehasht gewesen, doch rund 40.000 davon ließ man wohl komplett ungesichert. Darüber hinaus hätte man auch tiefe Einblicke in das Backend von Accentures Clouddienst bekommen, ebenso wie sensible Informationen über die Cloudmanagement-Plattform Enstratus. Der Sicherheitsforscher Chris Vickery, der das Leck entdeckt hatte, sprach gegenüber Zdnet von den "Schlüsseln für das Königreich“.

Keine Gefahr, sagt Accenture

Vickery hatte den unfreiwilligen Datenreichtum am 17. September bemerkt und nach kurzer Analyse Accenture benachrichtigt; das Unternehmen sicherte die Server umgehend. Gegenüber Zdnet erklärte ein Sprecher, dass kein Risiko für die eigenen Kunden bestanden habe. Die Zugangsdaten seien zweieinhalb Jahre alt und für Nutzer eines inzwischen stillgelegten Systems gedacht gewesen. Einen Zugriff auf die ungesicherten Server habe man nicht feststellen können.

Accenture rühmt sich selber damit, unter anderem zwei Drittel der 500 umsatzstärksten Unternehmen weltweit auf seiner Kundenliste zu haben. Sensible Daten einer solchen Consulting-Gesellschaft dürften also von großem Wert sein – und enormes Potenzial besitzen, um damit Schaden anzurichten. (axk)