Il 7 luglio 2026 Accenture ha confermato a BleepingComputer di aver subito una violazione della sicurezza. Il threat actor noto come '888' aveva offerto in vendita 35 GB di dati presumibilmente rubati su un forum cybercriminale. Nello stesso arco temporale, il dipartimento comunicazione dell'azienda ha dichiarato a Escudo Digital di "non essere a conoscenza di un cyberattack al momento". La discrepanza misura la distanza tra la linea dei team di incident response e il fronte pubblico delle relazioni esterne.
- Accenture ha confermato il breach a BleepingComputer, ma non ha verificato le claim dell'attaccante su volume e tipologia dei dati
- Il threat actor '888' sostiene di aver rubato 35 GB di source code, RSA keys, SSH keys, Azure PAT, Azure Storage access keys e configuration files
- Uno screenshot mostra il cloning di un repository Azure DevOps con hostname accenture.com, ma l'host è redatto e il documento non prova l'esfiltrazione completa
- Escudo Digital riporta una dichiarazione contraddittoria del dipartimento comunicazione Accenture
Il post dell'attaccante e le claim non verificate
L'attore '888' ha pubblicato su un forum cybercriminale: "Today I am selling the Accenture Data Breach, thanks for reading and enjoy!". Nel post sostiene che "in July 2026, Accenture suffered a data breach which resulted in just over 35gb of source codes getting stolen from the company". La data non è specificata oltre il mese.
L'attaccante allega una lista di materiali: "source codes, RSA keys, SSH keys, Azure PAT, Azure Storage access keys, and configuration files". BleepingComputer non ha potuto verificare indipendentemente l'intero scope dei dati. Accenture non ha commentato le claim su quantità né su tipologia di dati accessati o esfiltrati. L'azienda non ha divulgato il vettore di intrusione e non ha chiarito se dati clienti siano stati coinvolti.
L'unico elemento visivo è uno screenshot che mostrerebbe il cloning di un repository Azure DevOps denominato '121123_AtriasTalentAcademy' sotto un hostname accenture.com il cui nome completo è stato redatto. Lo screenshot documenta accesso al repository, non l'esfiltrazione effettiva di 35 GB.
La doppia voce di Accenture
La dichiarazione più solida proviene da un portavoce Accenture interpellato da BleepingComputer: "We are aware of this isolated matter, and we have remediated its source. There is no impact to Accenture operations and service delivery." La frase conferma l'esistenza di un incidente, ne minimizza la portata ("isolated matter") e ne dichiara la risoluzione senza specificare cosa sia stato "remediated".
Contemporaneamente, Escudo Digital riporta che "the company's communications department assures that they are not aware of a cyberattack at the moment and that they are investigating the matter". Il conflitto può riflettere una finestra temporale in cui il team di incident response aveva già contenuto il problema mentre il reparto comunicazione non era ancora stato allineato. Resta il fatto che una stessa azienda, nelle stesse ore, ha offerto due versioni incompatibili.
Il contesto: un attore ricorrente
Il threat actor '888' non è nuovo ad Accenture. BleepingComputer e Escudo Digital convergono nel riportare che lo stesso attore nel giugno 2024 aveva tentato di vendere dati di dipendenti Accenture dopo una presunta breach di terza parte. Escudo Digital cifra quel precedente in 32.826 dipendenti ed ex-dipendenti, dato non confermato da Accenture. La recidività suggerisce persistenza nel monitoraggio della superficie d'attacco Accenture, ma il dossier non documenta collegamenti tecnici tra i due episodi.
Il breach più noto precedente risale al 2021, quando il gruppo LockBit sottrasse circa 6 TB di dati. Anche in quel caso l'azienda dichiarò che non vi era impatto operativo.
"We are aware of this isolated matter, and we have remediated its source. There is no impact to Accenture operations and service delivery." — Portavoce Accenture, dichiarazione a BleepingComputer
Cosa fare adesso
Per le organizzazioni che si affidano a servizi Accenture o gestiscono ambienti Azure DevOps simili, il caso solleva azioni concrete:
- Verificare le comunicazioni ufficiali Accenture: l'azienda non ha rilasciato un advisory di sicurezza né specificato se clienti o partner debbano intraprendere azioni; monitorare i canali ufficiali per eventuali aggiornamenti
- Rivedere l'accesso ai repository Azure DevOps: se l'ambiente di sviluppo è ospitato su Azure DevOps, controllare i log di accesso e i clone recenti per attività anomale, specialmente su repository con naming simile a quello esposto
- Valutare la catena di escalation comunicativa interna: la discrepanza tra dichiarazioni di incident response e comunicazione esterna mostra rischi reputazionali; verificare che i protocolli interni allineino i team prima di rilasciare dichiarazioni
- Non trattenere credenziali a lunga durata nei repository: la presenza claimata di PAT, storage keys e chiavi crittografiche nei repository esposti indica una pratica da evitare indipendentemente dalla verifica delle claim
Domande frequenti
I 35 GB di dati sono confermati da Accenture?
No. Accenture ha confermato il breach ma non ha commentato le claim dell'attaccante su quantità o tipologia di dati. Il volume di 35 GB rimane non verificato indipendentemente.
Le credenziali e le chiavi esposte sono ancora valide?
Il dossier non lo specifica. Accenture non ha dichiarato se le credenziali siano state rotte o se siano state effettivamente compromesse.
Cosa significa la contraddizione tra le due dichiarazioni Accenture?
Il dossier non chiarisce la sequenza temporale né la ragione della discrepanza. Può riflettere ritardi nella catena di escalation interna o distinzioni semantiche non rese esplicite.
Fonti
- BleepingComputer: Accenture confirms breach after hacker offers stolen data for sale
- Escudo Digital: 35 GB of Accenture for sale: hacker claims source code and credentials theft
Le informazioni sono basate sulle fonti citate e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/7-eleven-data-breach-confirmed-after-shinyhunters-ransom-demand/
- https://www.bleepingcomputer.com/
- https://www.bleepingcomputer.com/tutorials/
- https://www.bleepingcomputer.com/download/
- https://www.bleepingcomputer.com/vpn/