Accenture遭爆大量客戶資料及加密金鑰放在AWS上不設防

系統整合商Accenture被研究人員發現大量資料，以及Amazon Web Service金鑰放在未以密碼保護的雲端伺服器上，陷公司資料於外洩風險之中。 

安全公司UpGuard網路風險研究總監Chris Vickery於9月17日發現Accenture代管在Amazon Web Service (AWS) S3儲存服務上的雲端伺服器，至少有4台未以密碼防護而公開在網路上。一旦路徑被發現，即可能導致大量公司及客戶資料被人免費下載。 

這批資料包含API資料、身份驗證資料、憑證、解密金鑰、客戶資料等等。進一步分析發現，這些資料隸屬於Accenture企業雲端產品Accenture Cloud Platform，這是一個多雲的管理平台，用戶包括全球100百大企業中的94家，以及全球500大企業中的2/3。 

這4台伺服器中，最大的伺服器檔案高達137GB，包含疑為Accenture客戶的帳密資料庫。還有近4萬筆以明碼儲存的密碼。此外，Accenture的AWS中的金鑰管理系統(Key Management System)的主金鑰也在其中，可導致攻擊者取得該公司AWS中所有加密資料的存取權。研究人員表示，一旦這些資料外流，駭客即可針對Accenture客戶進行第二波重大攻擊。 

經研究人員通知後，Accenture在隔日已立即將4台伺服器加上防護。 

但在被發現之前究竟有多少資料外洩，Accenture對ZDNET僅低調表示這批資料僅佔該公司雲端服務資料不到1%，而且完全沒有公司客戶資訊，對客戶未造成任何風險。 

這是最新一宗AWS上差點（或可能已經）發生的重大資料外洩。在此之前，已有美國2億選民資料、軍事衛星情資及600多萬Verizon用戶資料接連因為AWS設定疏失而全部公開在網路上。