accenture kddi data breach

Accenture conferma il furto di 35 GB di dati, KDDI ammette un breach che coinvolge oltre 12 milioni di utenti

🛡️ Executive Summary

  • Accenture conferma una violazione dopo la comparsa online di un’offerta di vendita relativa a 35 GB di dati aziendali.
  • KDDI comunica un data breach che coinvolge oltre 12 milioni di indirizzi email e più di 7,6 milioni di password.
  • I due incidenti evidenziano rischi differenti: da un lato l’esposizione di asset di sviluppo, dall’altro la compromissione di credenziali appartenenti a milioni di utenti.

Due importanti organizzazioni internazionali hanno confermato negli ultimi giorni incidenti di sicurezza che, pur avendo caratteristiche differenti, mettono in evidenza la crescente pressione esercitata dagli attori cyber contro grandi aziende e infrastrutture digitali. Accenture ha riconosciuto un incidente isolato dopo la pubblicazione, su un forum underground, di un annuncio relativo alla vendita di circa 35 GB di dati aziendali, mentre il gruppo giapponese KDDI ha comunicato una violazione che ha interessato oltre 12 milioni di indirizzi email e più di 7,6 milioni di password appartenenti a clienti attuali ed ex utenti dei propri servizi. In entrambi i casi le aziende affermano di aver contenuto gli incidenti, ma la natura delle informazioni coinvolte conferma quanto codice sorgente, credenziali cloud e piattaforme condivise continuino a rappresentare obiettivi di alto valore per il cybercrime.

Accenture conferma un incidente dopo la pubblicazione dei dati rubati

L’incidente che coinvolge Accenture è emerso quando un threat actor conosciuto con il nome “888” ha pubblicato su un forum specializzato nella compravendita di dati rubati un’offerta relativa a un archivio di circa 35 GB. Secondo quanto dichiarato dall’autore del post, il materiale comprenderebbe codice sorgente, chiavi RSA, chiavi SSH, Azure Personal Access Token (PAT), credenziali di accesso ad Azure Storage e diversi file di configurazione. A supporto delle proprie affermazioni, l’attaccante ha diffuso uno screenshot che mostrerebbe il clone di un repository Azure DevOps denominato 121123_AtriasTalentAcademy, ospitato su un dominio riconducibile ad Accenture. L’azienda ha confermato di essere a conoscenza dell’episodio, definendolo un incidente circoscritto già risolto, precisando che le attività operative e i servizi erogati ai clienti non hanno subito interruzioni. Rimangono tuttavia sconosciuti sia il reale volume dei dati sottratti sia il vettore d’accesso utilizzato dagli attaccanti, mentre non è stato chiarito se siano coinvolte anche informazioni appartenenti ai clienti.

Codice sorgente e credenziali cloud rappresentano un rischio strategico

La possibile sottrazione di repository di sviluppo e credenziali cloud costituisce uno scenario particolarmente delicato per qualsiasi organizzazione. Il codice sorgente può rivelare dettagli sull’architettura delle applicazioni, sulle librerie utilizzate e sulle eventuali debolezze implementative, fornendo agli attaccanti informazioni preziose per pianificare intrusioni future. Ancora più critiche risultano eventuali chiavi SSH, token Azure e credenziali di accesso ai servizi cloud, che potrebbero consentire movimenti laterali, compromissione degli ambienti di sviluppo o accessi non autorizzati alle infrastrutture. Sebbene Accenture non abbia confermato l’autenticità completa del materiale pubblicizzato dal threat actor, la semplice disponibilità di tali informazioni nei circuiti underground aumenta il rischio che vengano acquistate e analizzate da altri gruppi criminali. L’episodio si inserisce inoltre in una serie di incidenti che hanno già coinvolto la società negli ultimi anni, tra cui l’attacco del gruppo LockBit nel 2021 e la diffusione di dati provenienti da un fornitore esterno nel 2024.

KDDI rivela una violazione che coinvolge milioni di account

Annuncio

Molto diverso è invece il caso che interessa KDDI, secondo operatore di telecomunicazioni mobili del Giappone. L’azienda ha comunicato che una piattaforma condivisa per la gestione dei servizi email è stata compromessa attraverso lo sfruttamento di una vulnerabilità zero-day presente in un software di terze parti. Secondo quanto dichiarato, gli attaccanti hanno ottenuto accesso ai sistemi il 16 maggio 2026, mentre la compromissione è stata individuata circa un mese dopo, il 17 giugno, consentendo l’avvio immediato delle attività di contenimento. Il bilancio dell’incidente comprende 12.233.087 indirizzi email e 7.616.173 password, mentre il numero complessivo di utenti potenzialmente interessati, considerando clienti attuali, ex clienti e account inattivi, raggiunge circa 14,22 milioni di persone. La piattaforma coinvolta non serviva esclusivamente KDDI, ma era condivisa anche con altri operatori giapponesi, tra cui STNet, JCOM, Chubu Telecommunications, NIFTY Corporation e BIGLOBE.

Le contromisure adottate dal gruppo giapponese

Dopo aver identificato l’intrusione, KDDI ha dichiarato di aver immediatamente interrotto l’accesso degli attaccanti e corretto la vulnerabilità sfruttata, confermando attraverso successive verifiche forensi che non risultavano ulteriori compromissioni nei sistemi interessati. L’azienda ha notificato l’incidente alla Personal Information Protection Commission e al Ministry of Internal Affairs and Communications del Giappone, avviando contestualmente una vasta operazione di reset delle credenziali. Gli utenti che utilizzano regolarmente il servizio sono stati invitati a modificare la password, mentre per gli account meno attivi è previsto un reset forzato automatico. Secondo KDDI, una parte delle password risultava archiviata mediante algoritmi di hashing o altre forme di protezione crittografica, riducendo il rischio di utilizzo immediato da parte degli attaccanti. Parallelamente sono stati distribuiti nuovi strumenti di Endpoint Detection and Response (EDR) e rafforzati i controlli di sicurezza condivisi con gli altri provider coinvolti.

Due incidenti differenti ma con implicazioni comuni

Sebbene i due episodi presentino caratteristiche profondamente diverse, entrambi evidenziano l’evoluzione delle minacce informatiche nei confronti delle grandi organizzazioni. Nel caso di Accenture, il valore dell’attacco risiede soprattutto nella possibile esposizione di asset tecnici, repository di sviluppo e credenziali cloud che potrebbero facilitare future operazioni offensive. Nel caso di KDDI, invece, il rischio riguarda direttamente milioni di utenti, potenzialmente esposti a campagne di phishing, credential stuffing e tentativi di compromissione degli account, soprattutto nel caso in cui le stesse password siano state riutilizzate su altri servizi online. La combinazione di piattaforme condivise, software di terze parti e infrastrutture cloud amplia inevitabilmente la superficie di attacco e rende fondamentale una gestione rigorosa delle identità digitali e delle credenziali privilegiate.

La sicurezza delle supply chain resta una priorità

Gli incidenti che hanno coinvolto Accenture e KDDI confermano come la protezione delle infrastrutture moderne non possa limitarsi ai soli sistemi esposti su Internet. Repository di sviluppo, piattaforme condivise, servizi cloud e software forniti da terze parti rappresentano ormai componenti essenziali delle supply chain digitali e, allo stesso tempo, bersagli privilegiati per gruppi criminali e attori specializzati nello spionaggio informatico. La rapidità con cui entrambe le aziende hanno comunicato gli incidenti e adottato misure di contenimento costituisce un elemento positivo, ma il valore delle informazioni coinvolte dimostra che la prevenzione richiede controlli continui sugli ambienti di sviluppo, una gestione rigorosa delle credenziali, monitoraggio costante degli accessi privilegiati e una strategia di risposta agli incidenti in grado di limitare rapidamente l’impatto di eventuali compromissioni.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto