A Accenture confirmou que sofreu uma violação de segurança após um ator ameaçador afirmar ter roubado cerca de 35 GB de dados internos, incluindo código-fonte e credenciais de desenvolvimento sensíveis. A empresa afirmou que conteve o incidente, corrigiu sua origem e não encontrou impacto em suas operações ou na prestação de atendimento ao cliente.
O hacker, usando o pseudônimo “888”, anunciou o suposto conjunto de dados à venda em um fórum de crimes cibernéticos no início desta semana. De acordo com a listagem, o arquivo inclui código-fonte, chaves RSA e SSH, Azure Personal Access Tokens, chaves de acesso Azure Storage, arquivos de configuração e outros dados relacionados ao desenvolvimento.
A Accenture confirmou que investigou as alegações após ser contatada por repórteres. Em um comunicado, a empresa afirmou que identificou um incidente de segurança, abordou sua fonte e determinou que o comprometimento não prejudicou as operações comerciais nem afetou o atendimento ao cliente. A empresa não divulgou como o atacante teve acesso ou se alguma informação de clientes estava envolvida.
Pesquisadores que examinaram amostras liberadas pelo ator ameaçador disseram que a prévia não incluía código-fonte real. Em vez disso, supostamente continha uma lista de diretórios de projetos internos junto com referências a inúmeros arquivos .env, que são comumente usados para armazenar chaves de API, tokens de autenticação e outros segredos. Se autênticos, esses arquivos podem fornecer aos atacantes acesso a recursos internos de desenvolvimento caso as credenciais permaneçam válidas.
O agente ameaçador também afirma que os dados roubados incluem credenciais vinculadas aos serviços do Microsoft Azure. Especialistas em segurança observam que credenciais de nuvem expostas podem apresentar um risco maior do que o código-fonte isolado, pois podem permitir acesso não autorizado a ambientes de desenvolvimento, contas de armazenamento ou outra infraestrutura de nuvem caso não tenham sido revogadas.
Neste estágio, não há confirmação independente de que todo o conjunto de dados anunciado é genuíno. Embora a Accenture tenha reconhecido o incidente de segurança, a empresa não verificou as alegações do hacker sobre o volume de dados roubados ou os arquivos específicos supostamente levados.
O incidente marca a última vez que a Accenture lida com alegações de segurança divulgadas publicamente. Em 2021, a empresa confirmou que informações proprietárias haviam sido roubadas durante um ataque de ransomware da LockBit. Mais recentemente, em 2024, um ator ameaçador também tentou vender o que foi descrito como dados de funcionários da Accenture, embora a empresa tenha contestado o alcance do incidente e afirmado que apenas três pessoas foram afetadas.