Accenture 資安事故:35GB 外洩聲稱背後係雲端 key 風險
Tech News

Accenture 資安事故:35GB 外洩聲稱背後係雲端 key 風險

圖片:via iThome — https://www.ithome.com.tw/news/177194
TechLab 編輯部(譯)·

source code、PAT 同 SSH key 一旦有效,供應鏈權限就要逐粒查

先分清楚邊啲確認咗

iThome 報道,Accenture 向 BleepingComputer 確認發生過一宗資安事故,講法係事件屬個別情況,源頭已處理,日常運作同服務交付冇受影響。事源係一個叫 888 嘅攻擊者喺網上犯罪論壇放售資料,話自己喺 2026 年 7 月攞到 Accenture 超過 35GB 資料。呢個 35GB、入面有咩、客戶資料有冇中招,暫時都未有獨立核實;BleepingComputer 都寫明未能核實完整外洩範圍。

Accenture 官方 Information Security 頁面用嘅辦公場景圖

圖片:Accenture

點解 key 會辣過一堆檔案

攻擊者聲稱清單入面有 source code、RSA key、SSH key、Azure PAT、Azure Storage access key 同 config 檔,呢堆名會令資安人即刻醒神。PAT 好似開發平台通行證,Microsoft 都話要當密碼咁處理,唔好長期用;Storage account key 嘅權限可以去到整個儲存帳戶,所以官方建議用 Entra ID、managed identity、Key Vault 同定期 rotate。只要有一粒仲有效,攻擊者唔使撞密碼,已經可以試 clone repo、睇 pipeline、拎 artifact 或摸到雲端設定。

source code 會畀人畫地圖

source code 本身未必等於客戶資料外洩,但佢可以露出內部服務名、API 路徑、env var、部署腳本、library 版本同錯誤處理習慣,攻擊者就容易畫到系統地圖。最麻煩係 Git 歷史:有人今日刪走 .env,舊 commit 可能仲有;CI/CD 都常放 deployment token、package registry token、container registry 權限。CISA 同 NSA 嘅 CI/CD 指引講到,exposed secrets 係 pipeline 常見攻擊面,做法要減少長期憑證、行 least privilege、加 scanning 同 audit logs。

外判 IT 最怕權限冇邊界

香港公司成日搵顧問、SI、managed service provider 接手雲端同 app,供應商一攞住 repo 同部署權限,公司系統就同對方嘅 identity hygiene 綁住。暫時未有公開證據指香港客戶受影響,呢點唔好自己腦補;但如果你公司有外判團隊用 Azure DevOps、GitHub、GitLab 或 shared cloud account,就要知道邊啲 PAT、SSH key、service connection、OAuth app 喺供應商手上,邊啲可以即時 revoke,邊啲有 MFA、IP allowlist 同到期日。

而家要做嘅:唔好淨係等公告

Accenture 話源頭已處理,但客戶同有相似流程嘅公司唔應該淨係等下一份聲明。第一步係列出所有 vendor access:repo、artifact registry、cloud storage、CI/CD runner、service principal、break-glass account。跟住按風險 rotate secrets,先處理長期、high-scope、冇到期日嗰批;Git 歷史同 CI logs 都要掃,因為 secret scanner 只睇最新 commit 會漏嘢。最後要睇 audit log:外洩窗口入面有冇異常 clone、token use、storage list/read、pipeline run、role assignment。

下步睇三樣嘢

呢件事暫時未去到可以話 Accenture 大規模停擺,都未有公開材料證明客戶資料或者香港個案受影響。接住要睇 Accenture 會唔會披露入侵路徑、外洩清單點核實、邊類 credential 已 revoke/rotate。對企業 IT 嚟講,今次最實際嘅功課係要當 vendor access 係 production access 咁管,唔好當成「外判帳號」放喺角落。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook