Al in het najaar van 2016 kwamen de aanvallers belangrijke systemen binnen, wist The Guardian gisteren te melden. Deloitte probeerde gisteren in de media de reputatieschade te beperken en zei precies te weten wat de aanvallers hadden gedaan en dat klanten weinig hinder ondervinden.

Geen zicht op hack

Beveiligingsjournalist Brian Krebs sprak een interne bron die aangaf dat het bedrijf geen zicht heeft op hoe lang hackers binnen waren en welke data precies is ontvreemd, in tegenstelling tot de sussende woorden van het bedrijf gisteren in de media.

Niet alleen is het najaar van 2016 als beginpunt van de aanval niet helemaal zeker, maar ook is niet duidelijk of de aanvallers nu zijn geblokkeerd. Die kregen in eerste instantie toegang via een adminaccount.

Geen best practices

De systemen gebruikten geen aanvullende factor - al jaren best practice in de IT, op z'n minst voor adminaccounts - waardoor er geen complexe hack nodig was om binnen te komen. Met een gephisht account is het zonder 2FA al mogelijk om een netwerk volledig te veroveren - iets waar bijvoorbeeld Sony over kan meepraten.

Lees ook: 5 tips om admin-accounts te beveiligen Pijnlijk genoeg voor Deloitte, adviseert de consultancy bedrijven wereldwijd over hoe ze systemen beter beveiligen tegen inbraken. Qua omzet is het zelfs een van de grootste securityconsultants wereldwijd.