Alle geheimen van dit megabedrijf (oude naam Ernst & Young maar dat kon korter de nieuwe naam viel tegen) staan in de 4TB+ backup uit SQL Server, die ergens in een cloud bucket stond (bekend van Amazon AWS S3). The Register heeft een mooi artikel.
Wat zat er in de bucket?
The exposed data included highly sensitive information such as API keys, cached authentication tokens, session tokens, service account passwords, and user credentials.
Wat is S3 eigenlijk
Nogmaals : het kan een compatible product van een ander bedrijf zijn geweest.
De blunder van 2023
In 2023 lekte EY ook al creditcards van de Bank of America via de MOVEit campagne. Dat zat zo:
In that case, one of its engineers was caught being lazy during a database migration. Not wanting to deal with extra hassle, they simply set a bucket to public for five minutes, downloaded the full SQL database backup to migrate, and made it private again.
De exposure in 2023 volgens The Register
But that was enough time for attackers’ automated scans – de MOVEit campagne – to pick up on the exposure. They downloaded the file for themselves, along with trade secrets and credentials. Neo Security said the company went under after issuing the breach notification.
Deze blunder geeft het bedrijfsmotto Shape the future with confidence een extra boost.
Eerder dit jaar kreeg het bedrijf een Amerikaanse boete vanwege interne fraude bij de examens die de medewerkers moesten afleggen op het gebied van integriteit en competenties. Een belangrijke dienst van EY is de accountancy: het controleren van de boekhouding van bedrijven die bijv. aan de beurs genoteerd zijn. Ook is de firma gespecialiseerd in cybersecurity.
