Mywizard2019 som standardkodeord: Accenture-læk tyder på løs omgang med sikkerhed

En af de lækkede filer i censureret udgave, der beskriver et af Accentures port-setups. Illustration: Mads Lorenzen | Screendump
Lækket indeholder en række forskellige oplysninger om rådgivningsgiganten, nogle mere kritiske end andre. Blandt andet fremgår det, at en af Accentures Azure AD kunne tilgås med standardpasswords. Accenture vil hverken be- eller afkræfte ægtheden.

Der var tilsyneladende ikke tale om bluff, da ransomware-kartellet Lockbit truede med at offentliggøre det internationale rådgivningsfirma Accentures filer efter det multinationale selskab øjensynligt afviste at betale løsesum efter at være blevet kompromitteret. Tværtimod.

Læs også: Hackere offentliggører Accentures filer om 22 timer - eller også er det bluff

Version2 har fået indsigt i en række af filerne i lækket, men det er ikke muligt at hente alle 2.384 filer, der er lagt op til dato. Serveren, der er vært for de lækkede data, er nemlig overbelastet.

Al data i lækket kan naturligvis forfalskes, men sammen med detaljerede brugervejledninger til Accentures værktøjer, der også er at finde i lækket, får man det indtryk, at de mange data er ægte.

Accentures danske afdeling vil i skrivende stund hverken be- eller afkræfte ægtheden af lækket.

Accenture beskæftiger mere end 800 ansatte i Danmark, og har siden onsdag været omdrejningspunkt for en faretruende countdown på forskellige dark web-sider, der markerer, hvornår gruppen vil offentliggøre flere af selskabets data.

Sådan ser det ud, når man forsøger at downloade Accentures data på dark web. Men timeren nulstilles konstant, og de lækkede data kan stadig tilgås med timing, tålmodighed og Python. Illustration: Mads Lorenzen | Screendump

Afslører dårlig sikkerhedspraksis

Af de data, der er offentliggjort til dato, fremgår det blandt andet, at selskabet har brugt en række standardkodeord til deres tjenester og programmer samt til Accentures Azure Active Directory, der sædvanligvis styrer brugeres login.

Det gælder blandt andet password som Mywizard@123, Mywizard2019 og Mywizard2020, fremgår det af dokumenter, Version2 har set og som er hentet fra Lockbits dark web-side. Et andet standardpassword er Test123.

Læs også: 'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages

Hackerne bag angrebet lægger heller ikke skjul på deres overraskelse over Accentures manglende sikkerhed.

»These people (Accenture, red.) are beyond privacy and security. I really hope that their services are better than what I saw as an insider,« lyder det kontant fra hackerne bag angrebet på deres dark web-side.

Version2 har tidligere beskrevet hvordan standardkodeord kan udgøre en kæmpe trussel mod systemer. Dengang drejede det sig om TDC-routere.

Læs også: 'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages

Et af de mange områder, Accenture rådgiver inden for er ellers netop, hvordan man styrker sin it-sikkerhed og undgår ting som ransomware - samt hvad man bør gøre, hvis uheldet kulle være ude.

Herunder, hvordan man administrerer sine passwords sikkert og laver passwords, der ikke er nemme at gætte eller brute-force.

Indeholder bunkevis af interne data

Visse medier har beskrevet, at der sandsynligvis lå op mod seks terabyte data klar til publicering. Det er - så vidt vi kan se lige nu - langt fra tilfældet.

Det lader også til, at det er den samme mængde data der ligger tilgængeligt, selvom timeren på Lockbits site nulstilles, som den blev det i går for anden gang.

Ikke desto mindre indeholder lækket interne dokumenter markeret som ‘internal use only’ og indeholder detaljerede beskrivelser af kunder.

Af lækket fremgår også interne IP-opsætninger hos Accenture, hvilke versioner diverse programmer køres i, samt oversigter over hvilke porte, forskellige api’er kører på.

Derudover er der konkrete konfigurationsfiler på services, hvis URL’er ganske rigtigt ejes og drives af Accenture i skrivende stund.

Stor interesse for de lækkede data

Der er da også stor interesse for de lækkede data. Faktisk er interessen så stor at serveren, der er vært for de pågældende data, synes overbelastet.

Derfor har det heller ikke været muligt at udtrække hele lækket.

En anonym kilde fortæller også Version2, at det lader til, at de påvirkede tjenester er blevet omkonfigurerede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere