繼上月末四大咨詢(xún)公司之一的德勤被黑后，另一家咨詢(xún)公司埃森哲也被爆出安全問(wèn)題。

安全公司UpGuard發(fā)現(xiàn)，埃森哲的部分業(yè)務(wù)數(shù)據(jù)被放在了公開(kāi)的Amazon S3 bucket服務(wù)器上

UpGuard發(fā)現(xiàn)，4個(gè)云存儲(chǔ)服務(wù)器上的數(shù)據(jù)沒(méi)有受到密碼保護(hù)。任何擁有 web 服務(wù)器地址的人都可以下載其中存儲(chǔ)的數(shù)據(jù)，其中包括密鑰，API信息和客戶(hù)信息等。

　　這四個(gè)bucket包括：

acp-deployment包含內(nèi)部訪(fǎng)問(wèn)密鑰，埃森哲身份API使用的憑據(jù)，包含Amazon Web Services密鑰管理服務(wù)帳戶(hù)的主訪(fǎng)問(wèn)密鑰的明文文檔以及私有簽名密鑰。

acpcollector包含與埃森哲云存儲(chǔ)維護(hù)有關(guān)的數(shù)據(jù)，包括公司私有網(wǎng)絡(luò)的VPN密鑰和云生態(tài)系統(tǒng)的視圖。

acp-software是一個(gè)137 GB的bucket，最大的一個(gè)，包含Accenture客戶(hù)端憑據(jù)的數(shù)據(jù)庫(kù)轉(zhuǎn)儲(chǔ)，散列密碼和40,000個(gè)明文密碼。它還包括Accenture的Enstratus云管理平臺(tái)的訪(fǎng)問(wèn)密鑰和Zenoss事件跟蹤系統(tǒng)的數(shù)據(jù)，包括JSession ID，如果沒(méi)有過(guò)期，可以將其插入到cookies中以繞過(guò)身份驗(yàn)證。

acp-ssl包含提供許多埃森哲環(huán)境的加密密鑰存儲(chǔ)。名為“acp.aws.accenture.com”的文件夾中的更多密鑰存儲(chǔ)庫(kù)，以及可用于解密埃森哲與客戶(hù)端之間流量的證書(shū)。

“總而言之，這些暴露bucket的重要性不容小覷。如果被黑客利用，這些云服務(wù)器可能被任何用戶(hù)訪(fǎng)問(wèn)，這可能會(huì)使埃森哲和其數(shù)以千計(jì)的頂尖企業(yè)客戶(hù)面臨惡意攻擊，而這些攻擊可能造成無(wú)數(shù)次的財(cái)務(wù)損失。“

影響范圍

這一事件的影響有多大呢？

據(jù)統(tǒng)計(jì)，2015年埃森哲在55個(gè)國(guó)家、200多個(gè)城市有超過(guò)38萬(wàn)4千名員工，營(yíng)業(yè)額約329億美元，是世界上最大的管理咨詢(xún)公司，其客戶(hù)包括《財(cái)富》世界500強(qiáng)中超過(guò)八成的跨國(guó)公司、各國(guó)政府機(jī)構(gòu)以及軍隊(duì)。

好在UpGuard 在發(fā)現(xiàn)這些暴露數(shù)據(jù)之后，馬上就通知了 Accenture。Accenture 也馬上采取了安全應(yīng)對(duì)措施。并且 Accenture 還表示，UpGuard 是唯一一個(gè)未授權(quán)條件下訪(fǎng)問(wèn)公司服務(wù)器的訪(fǎng)問(wèn)者。

全球四大會(huì)計(jì)師事務(wù)所之一的Deloitte（德勤）遭到網(wǎng)絡(luò)攻擊，導(dǎo)致其全球電子郵件服務(wù)器被入侵。德勤被曝出“大量RDP端口對(duì)外”“一個(gè)帳號(hào)全線(xiàn)入侵”“員工將VPN密碼上傳Github”等低級(jí)風(fēng)險(xiǎn)，而它的安全咨詢(xún)業(yè)務(wù)卻被Gartner評(píng)為全球第一。

云服務(wù)器成泄密新途徑

同樣遭到亞馬遜“出賣(mài)”的還有美國(guó)的醫(yī)療機(jī)構(gòu)。

Kromtech安全中心的研究人員發(fā)現(xiàn)47.5 GB數(shù)據(jù)緩存，這些數(shù)據(jù)能夠輕易訪(fǎng)問(wèn)，其中包括316,363個(gè)PDF報(bào)告；每位患者每周測(cè)試結(jié)果共約20個(gè)文件。每個(gè)文件都不是匿名的，每個(gè)文件都以病人的名字命名，包括測(cè)試日期，家庭住址，電話(huà)號(hào)碼和測(cè)試詳細(xì)信息，甚至包括醫(yī)生的姓名和病例管理筆記。這無(wú)疑是黑客的重大福利。

Kromtech在一篇博客中表示，數(shù)據(jù)庫(kù)連接到的似乎是一家患者家庭監(jiān)測(cè)公司，該公司通過(guò)患者自檢試劑盒進(jìn)行每周血塊藥物測(cè)試，這樣病人就不用去醫(yī)生辦公室。研究人員表示，盡管沒(méi)有對(duì)Kromtech做出回應(yīng)，但該公司在Kromtech通知了該問(wèn)題后的一天內(nèi)將該數(shù)據(jù)庫(kù)設(shè)為私密。由于HIPAA違規(guī)通知規(guī)則，現(xiàn)在的法律要求被泄密的公司通知受影響的患者。

Kromtech戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk說(shuō)：“對(duì)于那些想要彌合醫(yī)療保健和技術(shù)之間差距，讓網(wǎng)絡(luò)安全變成業(yè)務(wù)模型的公司來(lái)說(shuō)，這又是一次警鐘。 “即使是最基本的安全措施也可以防止這種數(shù)據(jù)泄露。不幸的是，還有更多的數(shù)據(jù)庫(kù)和云存儲(chǔ)庫(kù)沒(méi)有被發(fā)現(xiàn)。