Napadač tvrdi da je ukrao 35 GB koda iz Accenturea - Azure kredencijali među ukradenima
Haker tvrdi da je iz Accenturea ukrao 35 GB koda uključujući Azure kredencijale i ključeve za pristup.
Šta se desilo?
Haktivist poznat pod pseudonimom "888" je objavio na forumu za sajber kriminal ponudu za prodaju podataka koje navodno sadrže 35 GB izvornog koda iz Accenturea. Prema ego tvrdnjama, ukradeni materijal uključuje izvorni kod, RSA ključeve, SSH ključeve, Azure tokene za lični pristup i pristupne ključeve za Azure skladište. Accenture je potvrdio da je došlo do narušavanja bezbednosti, ali ne verifikuje tačan obim ili specifičnu prirodu podataka koje navodi napadač.
Koga pogađa?
Globalni konzultantski gigant Accenture sa milionima klijenata širom sveta. Potencijalno su pogođene i sve organizacije koje koriste Azure DevOps i imaju integracije sa Accentureovim sistemima, kao i partneri i podužeće koji se oslanjaju na njihove usluge.
Kako se zaštititi?
- Odmah pregledajte politike rotacije Azure Personal Access Tokena (PAT) i smenite sve kredencijale koji su možda otkriveni
- Auditujem sve zapisnike pristupa repozitorijumima na Azure DevOps - tražite sumnjive aktivnosti i neovlašćene pristupe
- Pregledajte Azure Storage pristupne ključeve i rotujte one koji su stariji od 90 dana
- Aktivirajte multifaktorsku autentifikaciju na svim Azure nalozima sa povišenim dozvolama
- Kontaktirajte Accenture da biste utvrdili da li su vaši sistemi pogođeni
- Proverite Git istoriju commitova - tražite neuobičajene izmene ili brisanja koda
Tehnički detalji
Napadač je priložio snimak ekrana koji pokazuje izlaz iz komandne linije vezane za Azure DevOps, sa zahtevom na dev.azure.com krajnju tačku i operacijom git kloniranja. Prikazani repozitorijum je nazvan "121123_AtriasTalentAcademy" i navodno je hostovan na Accentureovoj proizvodnoj URL adresi. Snimak pokazuje i aktivnu operaciju kloniranja sa prenosom nekoliko hiljada objekata brzinom od nekoliko desetina megabajta po sekundi. Za plaćanje napadač zahteva isključivo Monero (XMR) kriptovalutu.
Preporuka Sajber Radara
Ovo je prvi put da "888" tvrdio da je napadao Accenture - 2024. godine je objavio sličnu, neuvrđenu tvrdnju koju je Accenture poričao. Sve relevantne organizacije trebalo bi da odmah preglede svoje Azure konfiguracije i da se uključe u kontaktu sa Accenturea za detaljne informacije o mogućem izlaganju. Specifični podaci ostaju nepotvdreni dok se ne pojave dodatni dokazi.