Accenture confirma vazamento: 35 GB com chaves Azure, tokens, código-fonte e chaves SSH parar em fórum underground — alerta se espalha para toda a Fortune 500

A gigante global de consultoria Accenture confirmou ter sofrido um vazamento de dados após um agente de ameaças anunciar em fórum underground ter exfiltrado 35 gigabytes de informações internas — incluindo chaves e tokens do Azure, arquivos de configuração, chaves RSA e SSH, além de código-fonte proprietário. A empresa afirmou que o incidente foi “isolado”, remediado, e sem impacto operacional — mas especialistas alertam que o material pode virar um manual de ataque para toda a base de clientes corporativos.

O que aconteceu

O incidente veio a público quando um ator de ameaça se vangloriou no fórum PwnForums de ter comprometido a Accenture e furtado 35 GB de dados. Segundo o próprio invasor, o pacote extraído inclui chaves de acesso e tokens do Azure, arquivos de configuração, chaves RSA e SSH, e código-fonte — supostamente exfiltrados no início do mês. Como prova de posse, o vendedor publicou uma captura de tela de um repositório privado do Azure DevOps aparentemente hospedado em domínio accenture.com.

Procurada, a Accenture confirmou o ataque ao SecurityWeek, mas não forneceu detalhes adicionais: “Estamos cientes desta questão isolada e remediamos sua origem. Não há impacto nas operações e na entrega de serviços da Accenture”, disse um porta-voz. Não está claro como os dados foram exfiltrados, se informações pessoais de clientes foram comprometidas, nem como o invasor obteve acesso inicial ao ambiente da consultoria.

Por que o pacote de 35 GB é preocupante

Segundo Ross Filipek, CISO da Corsica Technologies, o conjunto vazado tem potencial para se transformar em playbook para ataques subsequentes — especialmente contra clientes da própria Accenture. “A Accenture é um alvo familiar por causa de onde se posiciona no ecossistema de negócios. Grandes empresas de consultoria e serviços frequentemente se sentam próximas dos sistemas que ajudam as grandes corporações a operar — de ambientes cloud e ferramentas de identidade a bases de código e projetos de transformação”, afirmou.

“Isso não significa que todo incidente cria linhas diretas de exposição aos clientes, mas significa que as conexões existem e devem ser mapeadas antes que atacantes as mapeiem primeiro.”

Ross Filipek, CISO da Corsica Technologies

Riscos concretos do vazamento

  • Chaves e tokens Azure: se ainda válidos, permitem acesso direto a assinaturas Azure operadas pela Accenture — potencialmente inclusive as de clientes se as chaves compartilharem escopo cross-tenant.
  • Chaves RSA e SSH: podem abrir servidores, repositórios de código internos e, em pior caso, jump hosts que conectam a Accenture a ambientes de clientes.
  • Código-fonte: revisão pode revelar vulnerabilidades de dia-zero em produtos internos, integrações e ferramentas de DevOps desenvolvidas pela empresa.
  • Arquivos de configuração: geralmente contêm endpoints, strings de conexão, endereços de infraestrutura e, historicamente, credenciais em texto plano deixadas por engano.
  • Ataques em cadeia: clientes corporativos podem virar alvo com inteligência específica sobre suas próprias arquiteturas, dado que a Accenture presta consultoria de transformação digital para grande parte da Fortune 500.

Este não é o primeiro sobressalto da Accenture no ano. A empresa recentemente anunciou que adquirirá participação majoritária na Dragos, referência em cibersegurança industrial — movimento que aumenta seu perfil em segurança OT/ICS. E, no ano passado, uma ex-funcionária foi denunciada por ocultar problemas de segurança em produtos de nuvem da empresa que não estavam em conformidade com exigências do governo dos EUA.

Análise: o alvo perfeito da terceira ponta

O incidente na Accenture segue um padrão que se acelerou desde 2023: supply-chain de consultoria como vetor. Ao invés de atacar um cliente diretamente, o adversário compromete um parceiro que tem acesso privilegiado a dezenas ou centenas de organizações. É o mesmo desenho que vimos em incidentes envolvendo SolarWinds (2020), Kaseya (2021), MOVEit (2023) e Fortinet (2024, FortiBleed) — e agora, potencialmente, na maior consultoria digital do mundo.

Vale registrar dois detalhes técnicos. Primeiro, o volume: 35 GB é significativo mas não é enorme — sugere exfiltração seletiva de um subconjunto do Azure DevOps, não um wipe total. Isso implica que o atacante teve tempo e privilégios suficientes para navegar e curar o material antes de exfiltrar. Segundo, o fórum: PwnForums é um mercado underground emergente que substituiu parcialmente RaidForums e BreachForums após as apreensões policiais, com foco em vendas de acesso e leaks. Sua reputação ainda é volátil, mas atrai vendedores russos e da Ásia Central.

Para clientes brasileiros da Accenture — entre eles bancos, telecoms, energia e varejo — a resposta racional é assumir que credenciais compartilhadas foram comprometidas, mesmo com a garantia oficial de “incidente isolado”. Confiar em declaração pública sem contra-verificação é o mesmo erro que muitas vítimas do incidente MOVEit cometeram em 2023, quando as extensões do vazamento só ficaram visíveis meses depois.

Recomendações práticas

  • Clientes da Accenture: solicitem formalmente à empresa a lista de credenciais, chaves e tokens compartilhados que estiveram no ambiente comprometido. Rotacione todas antes de confiar em qualquer garantia.
  • Auditoria de acessos federados: identifique OAuth apps, service principals e federated identity providers criados pela Accenture ou parceiros nos últimos 12 meses e revalide.
  • Revogar chaves compartilhadas: chaves SSH, RSA e tokens de acesso Azure emitidos para uso conjunto devem ser revogados e re-emitidos sob nova política de rotação.
  • Monitorar código-fonte no darkweb: se seu produto ou plataforma foi desenvolvido em parceria com a Accenture, monitore mercados underground para eventual publicação de código-fonte de sua propriedade.
  • Segmentar tenants Azure: aplique políticas de separação estrita entre tenants de parceiros e seus próprios. Use Cross-Tenant Access Settings do Entra ID.
  • Ativar monitoramento anômalo: reforce regras de detecção em Azure Sentinel/Defender para movimentos incomuns em recursos que a Accenture opere junto ao seu ambiente.
  • Comunicação regulatória: no Brasil, avalie se o incidente demanda comunicação à ANPD via LGPD art. 48, caso dados pessoais possam ter sido acessados por meio da consultoria.

Fonte: SecurityWeek

TheNinja

Recent Posts

ESET expõe 11 shims UEFI assinados pela Microsoft que contornam Secure Boot: bootkits ganham chave-mestra em milhões de máquinas

Pesquisadores da ESET revelaram 11 aplicações UEFI antigas assinadas pela Microsoft que permitem executar bootkits…

3 horas ago

Vacina desenhada por IA passa em ensaio humano de fase 1 em Cambridge: DIOSynVax mira coronavírus futuros e abre nova era para desenvolvimento farmacêutico

Cambridge e DIOSynVax publicam Fase I da 1ª vacina universal contra coronavírus totalmente desenhada por…

9 horas ago

Five Eyes publicam primeiro guia conjunto de segurança para IA agêntica: cinco categorias de risco e a receita do menor privilégio

Aliança Five Eyes publica em maio de 2026 o primeiro guia conjunto sobre IA agêntica:…

9 horas ago