Accenture 確認資安事件:35GB 源碼同雲端憑證說法仍待核實
Tech News

Accenture 確認資安事件:35GB 源碼同雲端憑證說法仍待核實

圖片:via iThome — https://www.ithome.com.tw/news/177200
TechLab 編輯部(譯)·

公司話已修補,IT team 要即刻查 secrets、repo log 同雲端權限

Accenture 確認有事,但範圍仲未講清

Accenture 呢單唔可以當普通「有人話有資料」咁睇。iThome 報道,黑客論壇上一個叫 888 嘅用戶聲稱手上有約 35GB Accenture 內部資料,內容包括源碼、雲端 credential、config files 等,仲話有意出售。Accenture 向 BleepingComputer 同 Help Net Security 回應,話知道呢宗獨立事件,已修補源頭,營運同服務交付冇受影響。但公司冇確認 35GB 呢個數、冇逐項核實資料類型,亦冇講有冇客戶資料牽涉入去。

麻煩位喺 repo 同 token

平時資料外洩,多數人第一時間問有幾多個人資料、幾多張身份證、幾多封 email。今次如果論壇講法有料,麻煩位落喺開發環境:Azure personal access token、Storage access key、SSH key、RSA key 呢類嘢一旦仲有效,攻擊者唔止睇到檔案,仲可能返入 repo、storage、build pipeline,甚至沿住 service account 權限搵下一站。app 照常跑,同 credential 有冇俾人用過,係兩條問題。

源碼外洩會放大供應鏈風險

Accenture 呢類 service provider 通常唔止幫自己寫 app。官方 fact sheet 話佢 Q3 FY26 有約 799,000 名員工,服務覆蓋 120 多個國家;大型顧問公司手上通常有客戶 project repo、部署腳本、API 整合、測試環境同文件樣板。源碼俾人睇到,對方可以慢慢搵內部命名規則、錯誤處理、硬編碼 secret、舊 library 版本,再揀客戶系統常用嗰幾條路試入侵。呢種風險唔一定即日變成停機,但好啱用嚟做下一輪釣魚、供應鏈攻擊同 credential stuffing。

四件事要即刻做

iThome 引述 SOCRadar 嘅睇法,企業要先輪換同撤銷可能外流嘅 secrets,尤其係 PAT、SSH key、Storage key、CI/CD deployment token;跟住翻查 Azure sign-in、service principal、Key Vault、storage access 同 repo clone log,睇下憑證換走之前有冇異常使用。再落一層,repo 同 pipeline 都要查:build script 有冇俾人改、dependency source 有冇突然轉、release signing workflow 有冇走樣。身份、endpoint、雲端同 repo log 要串埋,先知入口喺邊。

供應商安全問卷要問到 repo 級

呢單對香港公司有工作價值,重點係採購同審計方法,暫時未見公開證據指向 Accenture HK 或港企資料受影響。用 SaaS、雲端代管、外判開發、SI 做大型項目時,安全審查唔好停喺 ISO 證書同「有冇 MFA」。問供應商有冇 secret scanning、push protection、PAT 最長有效期、service principal 有冇 least privilege、離職 developer access 幾耐收返、CI/CD 變更有冇獨立審批。合約上仲要寫清楚,出事時要畀到 rotation record、log window 同客戶受影響範圍。

下一步睇 Accenture 點交代

Accenture 話服務冇受影響,呢句只解到營運層面;安全 team 仲要知資料新唔新、token 有冇效、權限有幾闊、攻擊者入過邊啲 repo,同埋修補係停用一個帳號定係重做一批身份同 pipeline secrets。BleepingComputer 已講明未能獨立核實整批資料範圍,SOCRadar 亦列出多個未知位。跟進焦點好清楚:Accenture 會唔會講明外流資料類型、有冇客戶牽涉、同客戶要唔要自行輪換相關 credential。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook