Küresel danışmanlık devi Accenture, bir bilgisayar korsanının 35 GB kaynak kodu, RSA ve SSH anahtarları ile Azure kimlik bilgilerini çaldığını iddia etmesinin ardından veri ihlalini doğruladı. '888' rumuzlu tehdit aktörü, 2026 Temmuz ayında gerçekleştirdiği saldırıyla ele geçirdiği verileri siber suç forumu PwnForums'da satışa sundu. Accenture, olayın 'izole bir durum' olduğunu ve operasyonel bir etkisi bulunmadığını açıklasa da, ihlalin boyutu ve müşteri verilerinin etkilenip etkilenmediği konusunda detay vermedi.
Tehdit aktörü, forumda yayınladığı mesajda 'Bugün Accenture Veri İhlalini satıyorum, okuduğunuz için teşekkürler, keyfini çıkarın!' ifadelerini kullandı. Satışa sunulan veri setinin içeriğinde Accenture'ın Azure DevOps deposundan klonlanmış kaynak kodları, yapılandırma dosyaları ve çeşitli kimlik doğrulama anahtarları bulunuyor. Saldırgan, paylaştığı ekran görüntüsünde, '121123_AtriasTalentAcademy' adlı bir deponun kısmen sansürlenmiş bir accenture.com alan adından klonlandığını gösterdi.
Uzmanlara göre, asıl tehlike çalınan verilerin niteliğinde yatıyor. SSH ve Azure anahtarları, saldırganların müşteri ortamlarına sessizce erişmesine olanak tanırken, yapılandırma dosyaları üretim mimarilerini haritalandırmayı, kaynak kodları ise müşteri sistemlerinin nasıl inşa edildiğini ortaya çıkarıyor. Bu bilgiler bir araya geldiğinde, saldırganlara hazır bir saldırı planı sunuyor. Accenture, operasyonlarının etkilenmediğini belirtse de, müşteri ortamlarının açığa çıkıp çıkmadığı sorusu yanıtsız kalıyor.
Sonuç ve Değerlendirme
Accenture'un ihlal açıklaması oldukça sınırlı kaldı. Şirket sözcüsü, 'Bu izole olayın farkındayız ve kaynağını giderdik. Accenture operasyonları ve hizmet sunumunda herhangi bir etki yok' dedi. Ancak saldırganın sisteme nasıl girdiği, tam olarak neyin çalındığı ve müşteri verilerinin dahil olup olmadığı gibi kritik sorular yanıtsız kaldı. Bu durum, Accenture'ın kriz iletişimi konusunda eleştirilmesine neden oldu.
Teknik Analiz
Aynı tehdit aktörü '888', 2024 yılında da üçüncü taraf bir ihlal sonucu Accenture çalışan verilerini satmaya çalışmıştı. 2021'de ise LockBit fidye yazılımı çetesi Accenture'a saldırarak sistemlerinden veri sızdırmıştı. Bu olaylar, Accenture'ın siber güvenlik önlemlerine yönelik soru işaretlerini artırıyor. Şirketin, özellikle üçüncü taraf risk yönetimi ve erişim kontrolleri konusunda daha sıkı tedbirler alması gerektiği belirtiliyor.
Bu tür bir ihlalin etkileri, yalnızca Accenture için değil, aynı zamanda müşterileri için de ciddi olabilir. Çalınan anahtarlar ve kaynak kodları, rakipler veya kötü niyetli aktörler tarafından kullanılarak müşteri sistemlerine sızılabilir veya fikri mülkiyet çalınabilir. Accenture'ın müşterileri, kendi güvenlik ekipleriyle iletişime geçerek olası tehditleri değerlendirmeli ve erişim anahtarlarını yenilemelidir.
Siber güvenlik uzmanları, bu olayın ardından şirketlerin bulut güvenliği ve kaynak kodu yönetimi uygulamalarını gözden geçirmeleri gerektiğini vurguluyor. Özellikle Azure DevOps gibi platformlarda depolanan hassas bilgilerin şifrelenmesi, çok faktörlü kimlik doğrulama kullanılması ve düzenli güvenlik denetimleri yapılması öneriliyor. Accenture ihlali, büyük ölçekli şirketlerin bile siber saldırılara karşı ne kadar kırılgan olabileceğini bir kez daha gösterdi.
Kaynak: securityaffairs.com