Dünyanın en büyük danışmanlık firmalarından Accenture, büyük bir veri ihlaliyle sarsıldı. '888' rumuzlu bir tehdit aktörü, karanlık ağda yaptığı açıklamada, şirkete ait 35 GB hassas veriyi ele geçirdiğini duyurdu. Çalınan veriler arasında kaynak kodları, Microsoft Azure kişisel erişim tokenları, RSA şifreleme anahtarları ve SSH anahtarları bulunuyor. Bu tür bilgiler, şirketin iç sistemlerine ve müşteri projelerine sızmak için kullanılabilir.
Saldırının temmuz ayı başlarında gerçekleştiği iddia edilirken, Accenture sözcüsü Peter Soh, olayı 'izole bir mesele' olarak nitelendirdi ve kaynağın giderildiğini belirtti. Soh, 'Accenture operasyonlarına ve hizmet sunumuna herhangi bir etkisi yoktur' dedi. Ancak siber güvenlik uzmanları, çalınan verilerin Accenture ve müşterileri için ciddi riskler oluşturduğu konusunda uyarıyor.
Tehdit istihbarat firması SOCRadar, analizinde kaynak kodlarının saldırganlara uygulama mantığını anlama, güvenlik açıklarını tespit etme ve özel anahtarları bulma imkanı verdiğini vurguladı. Ayrıca, açığa çıkan Azure tokenları ve diğer erişim anahtarları, bilgisayar korsanlarının kod depoları ve bulut depolama hizmetlerinde serbestçe dolaşmasına olanak tanıyabilir. Bu durum, müşteri verilerine ve sistemlerine de sızılmasına yol açabilir.
Teknik Analiz
Çalınan verilerin güncelliğine bağlı olarak, saldırının Accenture'ın müşteri tabanı üzerinde kademeli etkileri olabileceği belirtiliyor. SOCRadar analistleri, 'Kaynak kodu ve yapılandırma dosyaları, saldırganların müşteriler veya ortaklar tarafından kullanılan yazılımlardaki güvenlik açıklarını tespit etmesine yardımcı olabilir' ifadelerini kullandı. Accenture ise bu potansiyel sonuçlarla ilgili takip sorularını yanıtlamadı.
Accenture, daha önce de siber güvenlik ihlalleriyle gündeme gelmişti. 2021'de LockBit fidye yazılımı çetesi Accenture'ın sistemlerine sızmış ve fidye ödenmezse verileri sızdırmakla tehdit etmişti. 2017'de ise UpGuard araştırmacıları, Accenture'ın Amazon Web Services depolama birimlerini yanlış yapılandırdığını ve yaklaşık 40.000 düz metin şifre ile diğer bulut hizmetlerine ait erişim anahtarlarını açığa çıkardığını ortaya çıkarmıştı.
Son saldırıyı üstlenen '888' rumuzlu tehdit aktörü, 2024 yılında da büyük bir Accenture çalışan veritabanını çaldığını iddia etmişti. O dönemde Accenture, hacker'ın olayı abarttığını ve veritabanında yalnızca üç çalışanına ait bilgi bulunduğunu söylemişti. Bu olay, Accenture'ın siber güvenlik önlemlerinin yeterliliği konusunda soru işaretleri yaratıyor.
Kaynak: cybersecuritydive.com