
Accenture 資安事故:35GB 外洩聲稱背後係雲端 key 風險
source code、PAT 同 SSH key 一旦有效,供應鏈權限就要逐粒查
先分清楚邊啲確認咗
iThome 報道,Accenture 向 BleepingComputer 確認發生過一宗資安事故,講法係事件屬個別情況,源頭已處理,日常運作同服務交付冇受影響。事源係一個叫 888 嘅攻擊者喺網上犯罪論壇放售資料,話自己喺 2026 年 7 月攞到 Accenture 超過 35GB 資料。呢個 35GB、入面有咩、客戶資料有冇中招,暫時都未有獨立核實;BleepingComputer 都寫明未能核實完整外洩範圍。

圖片:Accenture
點解 key 會辣過一堆檔案
攻擊者聲稱清單入面有 source code、RSA key、SSH key、Azure PAT、Azure Storage access key 同 config 檔,呢堆名會令資安人即刻醒神。PAT 好似開發平台通行證,Microsoft 都話要當密碼咁處理,唔好長期用;Storage account key 嘅權限可以去到整個儲存帳戶,所以官方建議用 Entra ID、managed identity、Key Vault 同定期 rotate。只要有一粒仲有效,攻擊者唔使撞密碼,已經可以試 clone repo、睇 pipeline、拎 artifact 或摸到雲端設定。
source code 會畀人畫地圖
source code 本身未必等於客戶資料外洩,但佢可以露出內部服務名、API 路徑、env var、部署腳本、library 版本同錯誤處理習慣,攻擊者就容易畫到系統地圖。最麻煩係 Git 歷史:有人今日刪走 .env,舊 commit 可能仲有;CI/CD 都常放 deployment token、package registry token、container registry 權限。CISA 同 NSA 嘅 CI/CD 指引講到,exposed secrets 係 pipeline 常見攻擊面,做法要減少長期憑證、行 least privilege、加 scanning 同 audit logs。
外判 IT 最怕權限冇邊界
香港公司成日搵顧問、SI、managed service provider 接手雲端同 app,供應商一攞住 repo 同部署權限,公司系統就同對方嘅 identity hygiene 綁住。暫時未有公開證據指香港客戶受影響,呢點唔好自己腦補;但如果你公司有外判團隊用 Azure DevOps、GitHub、GitLab 或 shared cloud account,就要知道邊啲 PAT、SSH key、service connection、OAuth app 喺供應商手上,邊啲可以即時 revoke,邊啲有 MFA、IP allowlist 同到期日。
而家要做嘅:唔好淨係等公告
Accenture 話源頭已處理,但客戶同有相似流程嘅公司唔應該淨係等下一份聲明。第一步係列出所有 vendor access:repo、artifact registry、cloud storage、CI/CD runner、service principal、break-glass account。跟住按風險 rotate secrets,先處理長期、high-scope、冇到期日嗰批;Git 歷史同 CI logs 都要掃,因為 secret scanner 只睇最新 commit 會漏嘢。最後要睇 audit log:外洩窗口入面有冇異常 clone、token use、storage list/read、pipeline run、role assignment。
下步睇三樣嘢
呢件事暫時未去到可以話 Accenture 大規模停擺,都未有公開材料證明客戶資料或者香港個案受影響。接住要睇 Accenture 會唔會披露入侵路徑、外洩清單點核實、邊類 credential 已 revoke/rotate。對企業 IT 嚟講,今次最實際嘅功課係要當 vendor access 係 production access 咁管,唔好當成「外判帳號」放喺角落。
參考來源
- iThome — Accenture證實遭駭,攻擊者聲稱竊得35GB資料 — original report
- Accenture confirms breach after hacker offers stolen data for sale — 核對 Accenture 俾媒體嘅回應、35GB 同 key 類型係邊個聲稱。
- Use personal access tokens - Azure DevOps | Microsoft Learn — 核對 Azure DevOps PAT 風險、revoke 同 rotate 做法。
- Manage account access keys - Azure Storage | Microsoft Learn — 核對 Azure Storage access key 權限同 Key Vault、managed identity 建議。
- Set up secret scanning for GitHub Advanced Security - Azure Repos — 核對 Azure Repos secret scanning 同 push protection 做法。
- Defending Continuous Integration/Continuous Delivery (CI/CD) Environments — 核對 CI/CD pipeline exposed secrets 風險同緩解方向。
- Information Security at Accenture — 官方公司頁,核對官方配圖來源同 Accenture 對 InfoSec 角色嘅描述。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







