Zakelijke dienstverlener Deloitte heeft tegenover The Guardian bevestigd slachtoffer te zijn geweest van een hack. Daarbij hebben aanvallers toegang verkregen tot e-mails van klanten, al is niet bekend om hoeveel klanten het gaat. De aanval richtte zich volgens de krant op de VS-tak.
Onder de getroffen klanten zijn grote bedrijven en onderdelen van de Amerikaanse overheid, weet de krant te melden. Deloitte zou tot nu toe zes klanten hebben ingelicht en is nog bezig met een intern onderzoek dat de naam Windham draagt. Het bedrijf zou de hack in maart van dit jaar hebben ontdekt, maar mogelijk waren de aanvallers al sinds oktober of november van vorig jaar aanwezig op zijn systemen, blijkt verder uit de berichtgeving.
De aanvallers hebben toegang verkregen tot de e-mailserver van Deloitte, die was beveiligd met een enkel wachtwoord en niet was voorzien van tweetrapsauthenticatie, schrijft The Guardian op basis van eigen bronnen. Bij de server gaat het om een Azure-instance. Naast toegang tot e-mails konden de aanvallers onder meer bij gebruikersnamen, wachtwoorden, ip-adressen en gevoelige beveiligingsinformatie komen. De krant schrijft niet op welke manier dit mogelijk was.
The Guardian beschikt over informatie waaruit blijkt dat er mogelijk toegang was tot vijf miljoen e-mails, maar Deloitte claimt dat het om 'een fractie' daarvan gaat. Het bedrijf wilde niet zeggen hoeveel van zijn klanten door het voorval zijn getroffen, maar zei alleen dat het om een klein aantal gaat. Een woordvoerder zegt dat uit het interne onderzoek blijkt 'wat de hackers hebben gedaan en welke informatie daardoor risico liep'.
De krant meldt verder dat de ernst van het voorval tot gevolg had dat alleen hooggeplaatste medewerkers en advocaten erover werden ingelicht. Het zou nog niet duidelijk zijn wie verantwoordelijk is voor de aanval. Deloitte levert verschillende diensten aan klanten, waaronder advies op het gebied van beveiliging. Maandag publiceerde het bedrijf een rapport waarin het inging op de kosten van internetcriminaliteit. De hack volgt op het nieuws van de Equifax-hack, waarbij er toegang was tot de gegevens van 143 miljoen mensen.