Beeldscherm met regels programmeercode in geel en blauw
Nieuws8 juli · 02:084 min leestijd

Accenture bevestigt datalek nadat hacker bedrijfsdata te koop zet

Accenture bevestigt een datalek nadat een crimineel 35GB aan interne gegevens te koop zet, waaronder broncode en cloudsleutels. Voor elk bedrijf dat met de IT-reus werkt, is dat een concreet leveranciersrisico.

Accenture bevestigt een datalek nadat een crimineel onder de naam 888 op een hackersforum 35GB aan interne gegevens van het IT-concern te koop aanbiedt: broncode, RSA- en SSH-sleutels, Azure-tokens en configuratiebestanden.

Accenture is niet zomaar een bedrijf. Het levert IT-advies, softwarebouw en systeembeheer aan duizenden organisaties wereldwijd, ook aan Nederlandse multinationals, overheden en hun divisies. Als de broncode en cloudsleutels van zo'n leverancier op straat liggen, wordt hun beveiligingsprobleem een stuk van jouw aanvalsoppervlak: wie met Accenture werkt, deelt code, toegang en soms data.

Kantoorgebouw van Accenture met het bedrijfslogo op de glazen gevel. Bron: Roberto Fiadone / Wikimedia Commons (CC BY-SA 4.0)
Kantoorgebouw van Accenture met het bedrijfslogo op de glazen gevel. Bron: Roberto Fiadone / Wikimedia Commons (CC BY-SA 4.0)

Wat Accenture wel en niet bevestigt

Het bedrijf houdt de bevestiging klein. In een reactie laat Accenture weten dat het gaat om een geïsoleerd incident dat het heeft verholpen, zonder gevolgen voor zijn activiteiten en dienstverlening. Wat het niet bevestigt, is de inhoud van de buit. De omvang van 35GB en de opsomming van broncode en sleutels komen van de aanbieder zelf.

Die aanbieder, die zich 888 noemt, claimt broncode, RSA- en SSH-sleutels, Azure Personal Access Tokens, Azure Storage-sleutels en configuratiebestanden buit te hebben gemaakt en verkoopt het pakket aan de hoogste bieder. Als bewijs deelde hij een screenshot van het klonen van een Azure DevOps-repository vanaf een server van Accenture. Onafhankelijke verificatie van de inhoud ontbreekt vooralsnog.

Waarom broncode en sleutels erger zijn dan een klantenbestand

Een datalek van klantgegevens is vervelend. Een datalek van broncode en toegangssleutels is een andere categorie. Met de broncode kunnen aanvallers rustig zoeken naar zwakke plekken in de software die een bedrijf draait, en die kennis inzetten tegen dat bedrijf en zijn klanten. Lekken er ook geldige sleutels en tokens, dan kan een aanvaller zich mogelijk voordoen als een vertrouwd systeem en dieper een omgeving in bewegen. Zo verplaatst een incident bij één leverancier zich naar de keten.

Dat waar je data staat en van wie je software is, geen waardenoordeel is maar een bedrijfsrisico dat op dezelfde plank hoort als één te grote klant of één onmisbare leverancier, wordt bij zo'n lek ineens heel concreet.

Voor Accenture is het bovendien niet de eerste keer. Dezelfde aanbieder probeerde in 2024 al werknemersgegevens van het concern te verkopen, en in 2021 trof de ransomwaregroep LockBit het bedrijf. Een naam met 'consultancy' erin maakt een organisatie geen kleiner doelwit: juist een partij die overal binnen zit, is aantrekkelijk.

Van je eigen slot naar dat van je leverancier

Voor wie met grote IT-dienstverleners werkt, verschuift dit incident de vraag van 'is je eigen beveiliging op orde' naar 'weet je wat je leveranciers van jou in handen hebben, en wat er gebeurt als die gehackt worden'. Concreet betekent dat: in kaart brengen welke externe partijen toegang hebben tot je code, systemen en data, sleutels en tokens regelmatig roteren, en die toegang zo krap mogelijk houden. De basale beveiligingslagen die je zelf kunt nalopen beginnen precies daar: bij wie toegang heeft en of die toegang nog klopt.

De echte les zit niet in Accenture, maar in de aanname eronder: dat een grote, professionele leverancier per definitie veilig is. Dat iemand maandenlang broncode en cloudsleutels van zo'n partij te koop kan zetten, laat zien dat vertrouwen in een leverancier geen vervanging is voor zicht op wat die leverancier van jou beheert.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Minder verspreid, meer in eigen hand

Als je software en data verspreid staan over externe partijen, verspreidt je risico mee. Ik denk met je mee, ontwerp en bouw systemen die je zelf in beheer houdt, self-hosted waar dat kan, van eerste idee tot een product dat live staat.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters
Nieuws
4 min

11 jul 06:10

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters

Microsofts eigen duurzaamheidsrapport bevestigt een kwart meer CO2-uitstoot in één jaar, tot 20 miljoen ton, door de bouw van datacenters voor AI. Voor bedrijven die Azure in hun CSRD-rapportage meenemen, groeit de eigen scope 3 mee.

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route
Nieuws
5 min

1 jul 21:08

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route

Een wachtwoordaanval deed in twee weken ruim 81 miljoen inlogpogingen op Microsoft 365 en omzeilde bij tientallen bedrijven de MFA via de verouderde ROPC-inlogroute van Azure CLI. Zo zet je die route dicht.

De CO2 van je AI-gebruik is jouw Scope 3, niet het probleem van je leverancier
Inzicht
7 min

11 jul 13:05

De CO2 van je AI-gebruik is jouw Scope 3, niet het probleem van je leverancier

Ollama haalt 65 miljoen dollar op en lanceert betaalde cloud die per GPU-tijd afrekent
Nieuws
4 min

10 jul 18:23

Ollama haalt 65 miljoen dollar op en lanceert betaalde cloud die per GPU-tijd afrekent

Ollama haalt 65 miljoen dollar op en zet naast de gratis lokale tool een betaalde cloud die per GPU-tijd afrekent. Voor bedrijven die vendor lock-in willen vermijden verschuift dat de rekensom rond zelf-hosten.

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane
Nieuws
4

10 jul 12:11

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane

Het kabinet zet de uitrol van Microsoft 365 bij de Belastingdienst, Douane en Toeslagen stil na een vernietigend ICT-advies over vendor lock-in, en laat het eigen, on-premises scenario opnieuw uitwerken.

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey
Nieuws
4 min

8 jul 20:11

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey

Aanvallers bellen medewerkers van bedrijven op Microsoft 365 en praten ze een frauduleuze Entra-passkey aan. Ze nemen intussen het account over en stelen data uit SharePoint en OneDrive. Dit betekent het voor je securitybeleid.