咨询巨头埃森哲确认数据安全事件,疑似35GB源代码及云凭据遭窃

admin 2026-07-14 06:17:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 全球咨询巨头埃森哲确认正在调查一起网络安全事件,一名威胁行为者声称窃取了约35GB内部数据,主要来自其AzureDevOps开发环境,涉及源代码、CI/CD配置、云访问凭据等。该事件凸显了开发环境安全与云凭据管理风险,建议企业加强DevSecOps实践,实施最小权限、多因素认证及持续监测。 综合评分: 75 文章分类: 数据泄露,云安全,安全建设,供应链安全,漏洞预警


cover_image

咨询巨头埃森哲确认数据安全事件,疑似35GB源代码及云凭据遭窃

原创

何威风 何威风

河南等级保护测评

2026年7月10日 09:20 湖南

在小说阅读器读本章

去阅读

全球咨询与技术服务巨头埃森哲(Accenture)近日确认正在调查一起网络安全事件。此前,一名威胁行为者在地下黑客论坛发布信息,声称已从埃森哲窃取约35GB内部数据,并公开出售相关资料。根据攻击者描述,泄露数据主要来自公司的Azure DevOps开发环境,涉及源代码、CI/CD配置文件、内部技术文档以及多种云访问凭据。不过,截至目前,攻击者公布的数据真实性及事件整体影响范围仍有待进一步核实。

据披露,攻击者宣称获取的数据不仅包括软件源代码,还包含大量具有较高攻击价值的敏感信息,例如Azure Personal Access Token(PAT)、Azure存储访问密钥、SSH密钥、RSA密钥、环境配置文件(.env)、自动化部署脚本以及CI/CD流水线配置等。如果这些凭据仍然有效,攻击者不仅能够访问源代码仓库,还可能进一步进入云平台、持续集成系统或自动化部署环境,形成供应链攻击的跳板。

面对外界关注,埃森哲表示,公司已经发现并处置了事件来源,相关安全调查正在持续进行。目前没有证据表明此次事件对公司运营或客户服务交付造成影响,但公司并未披露攻击入口、受影响系统范围以及是否涉及客户数据等具体信息,也尚未确认攻击者公布的数据是否全部真实有效。

从目前公开信息来看,此次事件更值得关注的是开发环境安全(DevSecOps)和云凭据管理风险,而不仅仅是源代码泄露本身。现代企业的软件开发平台通常与代码仓库、云资源、自动化部署平台、容器镜像仓库以及生产环境高度关联,一旦攻击者获得开发环境中的访问令牌或自动化凭据,就有可能绕过传统边界防护,通过合法身份进入企业内部环境,进一步实施代码篡改、恶意软件植入、供应链攻击或持续潜伏等操作。因此,攻击价值往往远高于单纯的数据泄露。

近年来,针对软件开发平台的攻击呈现持续增长趋势。从针对代码托管平台、CI/CD流水线,到针对OAuth令牌、API密钥和开发者终端的攻击,越来越多攻击者将目标转向软件供应链的上游环节。这类攻击不仅能够影响单一企业,还可能通过软件更新、自动化部署等渠道扩散至大量客户和合作伙伴,因此开发环境已成为企业网络安全防护的重要战场。

对于大型企业、政府机构及关键信息基础设施运营单位而言,此次事件再次提醒,应将DevSecOps作为网络安全体系建设的重要内容,重点加强源代码仓库、CI/CD平台和云开发环境的安全管理。实践中,应实施最小权限访问控制,对PAT、SSH密钥、API Token等敏感凭据实行集中管理和定期轮换,避免长期有效或共享使用;全面启用多因素认证(MFA),加强开发环境日志审计和异常行为监测,及时发现异常代码下载、大规模数据导出或异常凭据调用等行为;同时建立源代码和密钥泄露检测机制,结合软件成分分析(SCA)、秘密信息扫描(Secret Scanning)以及数据泄露防护(DLP)等技术,对开发全过程进行持续监测。对于一旦确认泄露的访问凭据,应立即完成吊销、替换和影响评估,防止攻击者利用有效凭据进一步扩大攻击范围。

此次事件再次表明,在云原生和软件供应链时代,真正需要重点保护的不仅是代码本身,更是代码背后的身份、凭据和自动化信任链。一旦这些关键资产遭到泄露,即使没有直接影响生产环境,也可能为后续供应链攻击和高级持续性攻击(APT)创造条件,因此开发环境安全已成为企业整体网络安全治理不可忽视的重要组成部分。

| | | — | | 埃森哲(Accenture)是一家总部位于爱尔兰的全球专业服务公司,成立于1989年。公司提供战略、咨询、数字、技术和运营等领域的服务,首席执行官为沈居丽(Julie Sweet)。 |


等保、关保、数保、个保,网络安全与数据治理“四位一体”的体系化制度框架

网络安全等级保护制度统一框架辨析


>>>等级保护<<<

从资质驱动到能力驱动——新标准下测评机构的生与死

测评机构迎大考,安全厂商的机会来了!

测评机构的回旋镖来了!测评机构不仅要会“测别人”,更要先“管好自己”

新标准背景下等级测评机构应培养什么样的人才

供应链企业应该如何适应等级保护发展

网络安全等级保护制度演进,安全治理思维的演变

网络安全等级保护之安全物理环境

网络安全等级保护之安全区域边界

网络安全等级保护之安全通信网络

网络安全等级保护之安全计算环境

网络安全等级保护之安全管理中心

网络安全等级保护之安全管理制度

网络安全等级保护之安全管理机构

网络安全等级保护之安全管理人员

网络安全等级保护之安全建设管理

网络安全等级保护之安全运维管理

网络安全等级保护制度演进,回看2003年27号文

网络安全等级保护制度演进,回看2004年66号文

网络安全等级保护制度演进,回看2006年7号文(过渡性文件)

《等级保护条例》迎来最新进展

网络安全等级保护制度统一框架辨析

网络安全等级保护安全物理环境之防盗窃和防破坏实现

网络安全等级保护物理访问控制实现

信息安全技术 网络安全等级保护测评过程指南

夜读:GB 17859-1999安全保护等级划分准则

等级保护基本要求标准系列

等级保护的数据摸底调查

网络安全等级保护自查清单(对照法条)

由新《网安法》罚则看等级保护、应急安全责任

等级保护的数据摸底调查

以等级保护为中轴线/基础的网络安全监管体系发展

网络运营者等级保护合规自查表

信息安全技术 网络安全等级保护测评过程指南

网络安全等级保护全生命周期一览图

开启等级保护之路:GB 17859网络安全等级保护上位标准

网络安全等级保护:什么是等级保护?

网络安全等级保护:等级保护工作从定级到备案

网络安全等级保护:等级测评中的渗透测试应该如何做

网络安全等级保护:等级保护测评过程及各方责任

网络安全等级保护:政务计算机终端核心配置规范思维导图

网络安全等级保护:信息技术服务过程一般要求

网络安全等级保护:浅谈物理位置选择测评项

闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载

闲话等级保护:什么是网络安全等级保护工作的内涵?

闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护:测评师能力要求思维导图

闲话等级保护:应急响应计划规范思维导图

闲话等级保护:浅谈应急响应与保障

闲话等级保护:如何做好网络总体安全规划

闲话等级保护:如何做好网络安全设计与实施

闲话等级保护:要做好网络安全运行与维护

闲话等级保护:人员离岗管理的参考实践

网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全:信息安全防护指南

工业控制系统安全:工控系统信息安全分级规范思维导图

工业控制系统安全:DCS防护要求思维导图

工业控制系统安全:DCS管理要求思维导图

工业控制系统安全:DCS评估指南思维导图

工业控制安全:工业控制系统风险评估实施指南思维导图

工业控制系统安全:安全检查指南思维导图(内附下载链接)

工业控制系统安全:DCS风险与脆弱性检测要求思维导图

工业安全远程访问渐增引发企业担心

工业巨头 ABB 确认勒索软件攻击、数据盗窃

去年针对工业组织的勒索软件攻击增加了一倍

标准下载:工业控制系统信息安全防护能力成熟度模型GB/T 41400-2022

>>>数据安全<<<

如何共建数据合规治理平台,确保用户数据安全?

数据安全:数据访问治理完整指南

良好数据安全实践推动数据治理的 7 种方式

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份:网络和数据安全的最后一道防线

数据安全:数据安全能力成熟度模型

数据安全知识:什么是数据保护以及数据保护为何重要?

信息安全技术:健康医疗数据安全指南思维导图

金融数据安全:数据安全分级指南思维导图

金融数据安全:数据生命周期安全规范思维导图

什么是数据安全态势管理 (DSPM)?

5个常见的数据安全陷阱以及如何避免

数据安全知识:数据库安全威胁

数据安全知识:不同类型的数据库

数据安全知识:数据库简史

数据安全知识:什么是数据出口?

数据安全知识:什么是数据治理模型?

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南:了解组织为何应关注供应链网络安全

供应链安全指南:确定组织中的关键参与者和评估风险

供应链安全指南:了解关心的内容并确定其优先级

供应链安全指南:为方法创建关键组件

供应链安全指南:将方法整合到现有供应商合同中

供应链安全指南:将方法应用于新的供应商关系

供应链安全指南:建立基础,持续改进。

思维导图:ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

网络安全知识:绘制供应链图

网络安全知识:评估供应链管理实践

网络安全知识:评估供应链安全

网络安全知识:供应链攻击4个示例

网络安全知识:英国供应链安全指导12原则

组织网络弹性之旅第9部分:供应链和第三方

网络安全知识:物流业的网络安全

网络安全知识:什么是AAA(认证、授权和记账)?

测试供应链安全的极限

美国NIST 供应链安全指南:10 条要点

软件供应链:黄金集装箱船

>>>其他<<<

网络安全十大安全漏洞

网络安全知识:什么是勒索软件?

Kali Linux 最佳工具之Nmap

云安全策略的10个关键要素

安全从组织内部人员开始

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

5年后的IT职业可能会是什么样子?

累不死的IT加班人:网络安全倦怠可以预防吗?

网络风险评估是什么以及为什么需要

如何减少制造攻击面的暴露

来自不安全的经济、网络犯罪和内部威胁三重威胁

什么是渗透测试,能防止数据泄露吗?

SSH 与 Telnet 有何不同?

管理组织内使用的“未知资产”:影子IT


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:河南等级保护测评 何威风 何威风《咨询巨头埃森哲确认数据安全事件,疑似35GB源代码及云凭据遭窃》

评论:0   参与:  0