Der Vorfall wurde in dieser Woche öffentlich, als ein Bedrohungsakteur auf PwnForums mit einem Einbruch bei Accenture prahlte und den Diebstahl von 35 Gigabyte Daten behauptete. Nach Angaben des Angreifers wurden die Informationen bereits früher in diesem Monat aus der Umgebung des Unternehmens exfiltriert.

Zu den angeblich entwendeten Daten zählen laut dem Forenbeitrag Azure-Zugangsschlüssel und -Tokens, Konfigurationsdateien, RSA- und SSH-Schlüssel sowie Quellcode. Der Angreifer versuchte dem Bericht zufolge, die mutmaßlich gestohlenen Daten zu verkaufen, und veröffentlichte als Nachweis einen Screenshot eines privaten Azure-DevOps-Repositorys, das offenbar unter einer accenture.com-Domain lief.

Accenture bestätigte den Vorfall auf Anfrage von SecurityWeek, hielt sich darüber hinaus aber mit Details zurück. Ein Sprecher des Unternehmens erklärte: „Uns ist dieser isolierte Vorfall bekannt, und wir haben seine Ursache behoben. Es gibt keine Auswirkungen auf den Betrieb von Accenture und die Erbringung unserer Dienstleistungen.“

Offen ist weiterhin, wie die Daten exfiltriert wurden, ob dabei auch personenbezogene Informationen kompromittiert wurden und auf welchem Weg sich der Angreifer Zugang zur Accenture-Umgebung verschafft hat. Der Quelltext liefert dazu keine weiteren Angaben.

Ross Filipek, CISO von Corsica Technologies, sieht in dem Vorfall Anlass zur Sorge, weil die angeblich entwendeten Daten als Vorlage für künftige Angriffe dienen könnten. Grundlage dafür seien Schwachstellen im Code, Zugangsdaten und Infrastrukturinformationen, die Angreifer aus dem Material herausziehen könnten.

Filipek verwies zudem auf die Rolle von Accenture im Geschäftsökosystem. Große Beratungs- und Dienstleistungsunternehmen säßen häufig nah an den Systemen, die den Betrieb großer Unternehmen stützen – von Cloud-Umgebungen und Identitätswerkzeugen bis zu Codebasen und Transformationsprojekten. Das bedeute zwar nicht, dass jeder Vorfall unmittelbar ein Risiko für Kunden schaffe, erkläre aber, warum Angreifer dort immer wieder nach einem Einstiegspunkt suchten. Ein erfolgreicher Einbruch könne Hinweise darauf liefern, wie Unternehmenssysteme aufgebaut sind, wie Teams sich authentifizieren und wo vertrauenswürdige Verbindungen bestehen.

Im Umfeld der Meldung verweist der Quelltext außerdem darauf, dass Accenture kürzlich angekündigt hatte, eine Mehrheitsbeteiligung an Dragos zu übernehmen. Zudem hatte das Unternehmen im vergangenen Jahr bestätigt, dass gegen eine frühere Mitarbeiterin Anklage erhoben wurde, weil sie Sicherheitsprobleme in Cloud-Produkten ihres Arbeitgebers verschleiert haben soll, die nicht mit Anforderungen der US-Regierung vereinbar waren.