Accenture bevestigt een datalek nadat een crimineel onder de naam 888 op een hackersforum 35GB aan interne gegevens van het IT-concern te koop aanbiedt: broncode, RSA- en SSH-sleutels, Azure-tokens en configuratiebestanden.
Accenture is niet zomaar een bedrijf. Het levert IT-advies, softwarebouw en systeembeheer aan duizenden organisaties wereldwijd, ook aan Nederlandse multinationals, overheden en hun divisies. Als de broncode en cloudsleutels van zo'n leverancier op straat liggen, wordt hun beveiligingsprobleem een stuk van jouw aanvalsoppervlak: wie met Accenture werkt, deelt code, toegang en soms data.

Wat Accenture wel en niet bevestigt
Het bedrijf houdt de bevestiging klein. In een reactie laat Accenture weten dat het gaat om een geïsoleerd incident dat het heeft verholpen, zonder gevolgen voor zijn activiteiten en dienstverlening. Wat het niet bevestigt, is de inhoud van de buit. De omvang van 35GB en de opsomming van broncode en sleutels komen van de aanbieder zelf.
Die aanbieder, die zich 888 noemt, claimt broncode, RSA- en SSH-sleutels, Azure Personal Access Tokens, Azure Storage-sleutels en configuratiebestanden buit te hebben gemaakt en verkoopt het pakket aan de hoogste bieder. Als bewijs deelde hij een screenshot van het klonen van een Azure DevOps-repository vanaf een server van Accenture. Onafhankelijke verificatie van de inhoud ontbreekt vooralsnog.
Waarom broncode en sleutels erger zijn dan een klantenbestand
Een datalek van klantgegevens is vervelend. Een datalek van broncode en toegangssleutels is een andere categorie. Met de broncode kunnen aanvallers rustig zoeken naar zwakke plekken in de software die een bedrijf draait, en die kennis inzetten tegen dat bedrijf en zijn klanten. Lekken er ook geldige sleutels en tokens, dan kan een aanvaller zich mogelijk voordoen als een vertrouwd systeem en dieper een omgeving in bewegen. Zo verplaatst een incident bij één leverancier zich naar de keten.
Dat waar je data staat en van wie je software is, geen waardenoordeel is maar een bedrijfsrisico dat op dezelfde plank hoort als één te grote klant of één onmisbare leverancier, wordt bij zo'n lek ineens heel concreet.
Voor Accenture is het bovendien niet de eerste keer. Dezelfde aanbieder probeerde in 2024 al werknemersgegevens van het concern te verkopen, en in 2021 trof de ransomwaregroep LockBit het bedrijf. Een naam met 'consultancy' erin maakt een organisatie geen kleiner doelwit: juist een partij die overal binnen zit, is aantrekkelijk.
Van je eigen slot naar dat van je leverancier
Voor wie met grote IT-dienstverleners werkt, verschuift dit incident de vraag van 'is je eigen beveiliging op orde' naar 'weet je wat je leveranciers van jou in handen hebben, en wat er gebeurt als die gehackt worden'. Concreet betekent dat: in kaart brengen welke externe partijen toegang hebben tot je code, systemen en data, sleutels en tokens regelmatig roteren, en die toegang zo krap mogelijk houden. De basale beveiligingslagen die je zelf kunt nalopen beginnen precies daar: bij wie toegang heeft en of die toegang nog klopt.
De echte les zit niet in Accenture, maar in de aanname eronder: dat een grote, professionele leverancier per definitie veilig is. Dat iemand maandenlang broncode en cloudsleutels van zo'n partij te koop kan zetten, laat zien dat vertrouwen in een leverancier geen vervanging is voor zicht op wat die leverancier van jou beheert.
Veelgestelde vragen
Minder verspreid, meer in eigen hand
Als je software en data verspreid staan over externe partijen, verspreidt je risico mee. Ik denk met je mee, ontwerp en bouw systemen die je zelf in beheer houdt, self-hosted waar dat kan, van eerste idee tot een product dat live staat.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
