Šta se desilo?

Haktivist poznat pod pseudonimom "888" je objavio na forumu za sajber kriminal ponudu za prodaju podataka koje navodno sadrže 35 GB izvornog koda iz Accenturea. Prema ego tvrdnjama, ukradeni materijal uključuje izvorni kod, RSA ključeve, SSH ključeve, Azure tokene za lični pristup i pristupne ključeve za Azure skladište. Accenture je potvrdio da je došlo do narušavanja bezbednosti, ali ne verifikuje tačan obim ili specifičnu prirodu podataka koje navodi napadač.

Koga pogađa?

Globalni konzultantski gigant Accenture sa milionima klijenata širom sveta. Potencijalno su pogođene i sve organizacije koje koriste Azure DevOps i imaju integracije sa Accentureovim sistemima, kao i partneri i podužeće koji se oslanjaju na njihove usluge.

Kako se zaštititi?

  • Odmah pregledajte politike rotacije Azure Personal Access Tokena (PAT) i smenite sve kredencijale koji su možda otkriveni
  • Auditujem sve zapisnike pristupa repozitorijumima na Azure DevOps - tražite sumnjive aktivnosti i neovlašćene pristupe
  • Pregledajte Azure Storage pristupne ključeve i rotujte one koji su stariji od 90 dana
  • Aktivirajte multifaktorsku autentifikaciju na svim Azure nalozima sa povišenim dozvolama
  • Kontaktirajte Accenture da biste utvrdili da li su vaši sistemi pogođeni
  • Proverite Git istoriju commitova - tražite neuobičajene izmene ili brisanja koda

Tehnički detalji

Napadač je priložio snimak ekrana koji pokazuje izlaz iz komandne linije vezane za Azure DevOps, sa zahtevom na dev.azure.com krajnju tačku i operacijom git kloniranja. Prikazani repozitorijum je nazvan "121123_AtriasTalentAcademy" i navodno je hostovan na Accentureovoj proizvodnoj URL adresi. Snimak pokazuje i aktivnu operaciju kloniranja sa prenosom nekoliko hiljada objekata brzinom od nekoliko desetina megabajta po sekundi. Za plaćanje napadač zahteva isključivo Monero (XMR) kriptovalutu.

Preporuka Sajber Radara

Ovo je prvi put da "888" tvrdio da je napadao Accenture - 2024. godine je objavio sličnu, neuvrđenu tvrdnju koju je Accenture poričao. Sve relevantne organizacije trebalo bi da odmah preglede svoje Azure konfiguracije i da se uključe u kontaktu sa Accenturea za detaljne informacije o mogućem izlaganju. Specifični podaci ostaju nepotvdreni dok se ne pojave dodatni dokazi.