Mywizard2019 som standardkodeord: Accenture-læk tyder på løs omgang med sikkerhed

13. august 2021 kl. 16:00
Mywizard2019 som standardkodeord: Accenture-læk tyder på løs omgang med sikkerhed
Illustration: Mads Lorenzen | Screendump.
Lækket indeholder en række forskellige oplysninger om rådgivningsgiganten, nogle mere kritiske end andre. Blandt andet fremgår det, at en af Accentures Azure AD kunne tilgås med standardpasswords. Accenture vil hverken be- eller afkræfte ægtheden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der var tilsyneladende ikke tale om bluff, da ransomware-kartellet Lockbit truede med at offentliggøre det internationale rådgivningsfirma Accentures filer efter det multinationale selskab øjensynligt afviste at betale løsesum efter at være blevet kompromitteret. Tværtimod.

Version2 har fået indsigt i en række af filerne i lækket, men det er ikke muligt at hente alle 2.384 filer, der er lagt op til dato. Serveren, der er vært for de lækkede data, er nemlig overbelastet.

Al data i lækket kan naturligvis forfalskes, men sammen med detaljerede brugervejledninger til Accentures værktøjer, der også er at finde i lækket, får man det indtryk, at de mange data er ægte.

Accentures danske afdeling vil i skrivende stund hverken be- eller afkræfte ægtheden af lækket.

Artiklen fortsætter efter annoncen

Accenture beskæftiger mere end 800 ansatte i Danmark, og har siden onsdag været omdrejningspunkt for en faretruende countdown på forskellige dark web-sider, der markerer, hvornår gruppen vil offentliggøre flere af selskabets data.

Sådan ser det ud, når man forsøger at downloade Accentures data på dark web. Men timeren nulstilles konstant, og de lækkede data kan stadig tilgås med timing, tålmodighed og Python.

Afslører dårlig sikkerhedspraksis

Af de data, der er offentliggjort til dato, fremgår det blandt andet, at selskabet har brugt en række standardkodeord til deres tjenester og programmer samt til Accentures Azure Active Directory, der sædvanligvis styrer brugeres login.

Det gælder blandt andet password som Mywizard@123, Mywizard2019 og Mywizard2020, fremgår det af dokumenter, Version2 har set og som er hentet fra Lockbits dark web-side. Et andet standardpassword er Test123.

Hackerne bag angrebet lægger heller ikke skjul på deres overraskelse over Accentures manglende sikkerhed.

»These people (Accenture, red.) are beyond privacy and security. I really hope that their services are better than what I saw as an insider,« lyder det kontant fra hackerne bag angrebet på deres dark web-side.

Version2 har tidligere beskrevet hvordan standardkodeord kan udgøre en kæmpe trussel mod systemer. Dengang drejede det sig om TDC-routere.

Et af de mange områder, Accenture rådgiver inden for er ellers netop, hvordan man styrker sin it-sikkerhed og undgår ting som ransomware - samt hvad man bør gøre, hvis uheldet kulle være ude.

Herunder, hvordan man administrerer sine passwords sikkert og laver passwords, der ikke er nemme at gætte eller brute-force.

Lockbit (ABCD)

Lockbit, oprindeligt kendt som ABCD, er en ransomware der blev opdaget første gang i 2019.

Det særlige ved Lockbit er, at malwaren kan sprede sig selv, hvor de fleste andre ransomware-programmer kræver konstant, manuelt arbejde.

Efter at have inficeret en enkelt værts-enhed finder malwaren automatisk andre, forbundne mål og inficerer dem med et script.

Folkene bag de forskellige Lockbit-versioner er kendt for at udleje sin software til andre kriminelle.

Kilde: Kaspersky

Indeholder bunkevis af interne data

Visse medier har beskrevet, at der sandsynligvis lå op mod seks terabyte data klar til publicering. Det er - så vidt vi kan se lige nu - langt fra tilfældet.

Det lader også til, at det er den samme mængde data der ligger tilgængeligt, selvom timeren på Lockbits site nulstilles, som den blev det i går for anden gang.

Ikke desto mindre indeholder lækket interne dokumenter markeret som ‘internal use only’ og indeholder detaljerede beskrivelser af kunder.

Af lækket fremgår også interne IP-opsætninger hos Accenture, hvilke versioner diverse programmer køres i, samt oversigter over hvilke porte, forskellige api’er kører på.

Derudover er der konkrete konfigurationsfiler på services, hvis URL’er ganske rigtigt ejes og drives af Accenture i skrivende stund.

Stor interesse for de lækkede data

Der er da også stor interesse for de lækkede data. Faktisk er interessen så stor at serveren, der er vært for de pågældende data, synes overbelastet.

Derfor har det heller ikke været muligt at udtrække hele lækket.

En anonym kilde fortæller også Version2, at det lader til, at de påvirkede tjenester er blevet omkonfigurerede.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger