EY 4TB Time Bomb

Vier Terabyte sind keine Datei. Das ist ein Rechenzentrum. Der Puls des Forschers beschleunigte sich, als er die Dateisignaturen untersuchte: SQL Server-Sicherungsdateien, unverschlüsselt, gespeichert in einem öffentlichen Azure-Speicher-Bucket. Das war nicht nur schlimm – es war katastrophal.

SQL Server BAK-Dateien enthalten alles: Datenbankschemata, alle gespeicherten Daten, API-Schlüssel, Sitzungstoken, Benutzeranmeldedaten und Dienstkontopasswörter. Eine solche Datei im öffentlichen Internet zu finden, ist wie die Entdeckung des Masterplans und der physischen Schlüssel zu einem Tresorraum, der an einer Straßenecke zurückgelassen wurde.

Der Forscher hatte bereits Sicherheitsverletzungen untersucht, die mit weitaus weniger begonnen hatten. Einmal verfolgte er einen gesamten Ransomware-Vorfall bis zu einem einzigen Konfigurationsdateileak von nur acht Kilobyte zurück. Hier handelte es sich um vier Terabyte.

Die Bestätigung des Schlimmsten

Die Ermittlung des Eigentümers erwies sich als schwierig. Die Google-Suche brachte wenig Ergebnisse. Unternehmensunterlagen führten zu Fusionsdokumenten in einer südeuropäischen Sprache, die mit DeepL übersetzt wurden und eine Übernahme aus dem Jahr 2020 offenbarten. Dann kam die DNS-Abfrage – die digitale Telefonbuchabfrage, die fragt, wer wirklich verantwortlich ist. Der autoritative Server wies auf ey.com hin.

Ernst & Young. Eine der vier großen Wirtschaftsprüfungsgesellschaften. Eine Organisation, die große Unternehmen prüft, milliardenschwere Fusions-Due-Diligence-Prüfungen durchführt und auf Finanzunterlagen zugreift, die Märkte bewegen könnten.

Bevor man Kontakt aufnahm, war eine Überprüfung unerlässlich. Das Herunterladen von vier Terabyte hätte die Grenze von der Forschung zum Straftatbestand überschritten, daher zog der Forscher nur die ersten tausend Bytes herunter. Dateisignaturen – die „magischen Bytes” am Anfang von Dateien – bestätigten es: eine unverschlüsselte SQL-Server-Sicherung.

Das Fünf-Minuten-Fenster

Der Forscher kannte dieses Szenario nur zu gut. Jahre zuvor hatte er einen Fintech-Verstoß untersucht, der mit einer BAK-Datei begann, die genau fünf Minuten lang öffentlich zugänglich war. Ein Ingenieur, der unter Druck mit einem unzuverlässigen VPN bis spät in die Nacht arbeitete, traf eine schicksalhafte Entscheidung: „Ich stelle den Bucket für zwei Minuten auf öffentlich, lade ihn herunter und stelle ihn dann wieder zurück. Was könnte schon passieren?”

Was passierte, war, dass automatisierte Scanner – Tausende davon, verteilt auf kompromittierte IoT-Geräte, gehackte Router und geknackte Cloud-Instanzen – alles durchsuchten und fanden. Diese Bots scannen den gesamten IPv4-Adressraum in wenigen Minuten und suchen nach dem nächsten exponierten Speicher-Bucket. Das Zeitfenster zwischen „falsch konfiguriert“ und „exfiltriert“ beträgt Sekunden, nicht Stunden.

Der Ingenieur änderte die Zugriffskontrolle nach fünf Minuten wieder. Zu spät. Die gesamte Datenbank war verschwunden. Der Traffic auf der Homepage des Unternehmens stieg in diesem Zeitraum um 400 % – nicht durch menschliche Besucher, sondern durch automatisierte Scraper, die jeden Endpunkt untersuchten. Das Unternehmen ging schließlich in Konkurs.

Als dieser Forscher das exponierte EY-Backup sah, fragte er sich nicht, ob jemand es gestohlen hatte. Er fragte sich, wer es nicht gestohlen hatte.

Die Reaktion

Neo Security stellte sofort alle Untersuchungen ein und suchte verzweifelt nach einem Ansprechpartner für Sicherheitsfragen. Es war Wochenende. Es gab kein erkennbares Programm zur Offenlegung von Sicherheitslücken. Der Forscher schickte fünfzehn Personen auf LinkedIn eine Direktnachricht, bevor er jemanden fand, der die Dringlichkeit der Angelegenheit verstand und ihn mit dem Computer Security Incident Response Team von EY in Verbindung brachte.

Von diesem Moment an verlief alles wie aus dem Lehrbuch. Professionelle Anerkennung, klare technische Kommunikation, keine rechtlichen Drohungen oder Abwehrhaltungen. Eine Woche später war das Problem vollständig behoben.

Die unangenehme Wahrheit

Wenn EY – mit enormen Ressourcen, Sicherheitsteams, Compliance-Frameworks und ISO-Zertifizierungen – vier Terabyte an SQL-Backups öffentlich zugänglich machen kann, kann das jeder. Die moderne Cloud-Infrastruktur entwickelt sich zu schnell. Infrastruktur ist Code, die Bereitstellung ist automatisiert und Fehler passieren in großem Umfang.

Die Sorge des Forschers gilt nicht zwielichtigen Hackern, die es auf bestimmte Unternehmen abgesehen haben. Es geht um die Automatisierung: die massive, verteilte Scan-Infrastruktur, die niemals schläft und alles innerhalb von Sekunden nach der Offenlegung findet.

Die Lektion ist klar: Man kann nicht verteidigen, was man nicht kennt. Unternehmen benötigen die gleiche kontinuierliche, automatisierte Transparenz, über die Angreifer verfügen. Sie müssen ihre eigenen Schwachstellen zuerst finden – denn in der Cloud können fünf Minuten vier Minuten zu lang sein.

Acronis kommentiert

Gerald Beuchelt, CISO bei Acronis, schätzt den Leak wie folgt ein:

„Die Offenlegung der EY-Datenbank verdeutlicht eines der am häufigsten übersehenen Risiken in der Cybersicherheit: ungesicherte Backups. Backups werden oft als reine Routineaufgabe betrachtet, enthalten jedoch in der Regel vollständige Kopien der laufenden Systeme – einschließlich Zugangsdaten, Quellcode, API-Schlüssel und Konfigurationsdaten. Wenn ein Backup online und öffentlich zugänglich bleibt, kann jeder, der es findet, potenziell auf die gesamte digitale Infrastruktur des Unternehmens zugreifen.

Dieser Fall zeigt, dass selbst große, sicherheitsbewusste Unternehmen durch eine einzige Fehlkonfiguration in den Fokus geraten können. Fehlkonfigurierte Cloud-Speicher – etwa offene S3-Buckets oder freigegebene Snapshots – gehören weiterhin zu den häufigsten Ursachen für großflächige Datenlecks. Backups sollten denselben Sicherheitsstandards unterliegen wie produktive Systeme: mit strengen Zugriffskontrollen, Verschlüsselung und kontinuierlicher Überwachung. Sie dürfen niemals in öffentlichen oder gemeinsam genutzten Speicherorten abgelegt werden. Automatisierte Prüfwerkzeuge sollten regelmäßig sicherstellen, dass keine Speicher- oder Datenbanksicherungen ungeschützt im Netz stehen.

Ebenso wichtig sind automatisierte Konfigurationsmanagement-Tools für XaaS-Dienste wie Microsoft 365. Sie ermöglichen eine fortlaufende Überwachung der gesamten Sicherheitslage eines Unternehmens. Solche Tools erfassen nicht nur Backup-Daten, sondern stellen auch sicher, dass andere kritische Service-Einstellungen korrekt konfiguriert sind, um potenzielle Schwachstellen zu vermeiden, die die Sicherheitsumgebung weiter gefährden könnten.

Letztlich muss die Sicherheit von Backups ein zentraler Bestandteil der gesamten Sicherheitsstrategie eines Unternehmens sein. Ein einziges offengelegtes Backup kann jahrelange Investitionen in Sicherheitsmaßnahmen zunichtemachen. Proaktive Audits und konsequentes Konfigurationsmanagement sind daher unerlässlich, um Vorfälle wie diesen zu verhindern.“

Four terabytes isn’t a file. It’s a data center. The researcher’s pulse quickened as he examined the file signatures: SQL Server backup files, unencrypted, sitting on a public Azure storage bucket. This wasn’t just bad—it was catastrophic.

SQL Server BAK files contain everything: database schemas, all stored data, API keys, session tokens, user credentials, and service account passwords. Finding one exposed to the public internet is like discovering the master blueprint and physical keys to a vault abandoned on a street corner.

The researcher had investigated breaches that started with far less. He once traced an entire ransomware incident back to a single configuration file leak of just eight kilobytes. This was four terabytes.

Confirming the Worst

Determining ownership proved challenging. Google searches yielded little. Company records led to merger documents in a south-central European language, translated through DeepL, revealing an acquisition from 2020. Then came the DNS lookup—the digital phonebook query that asks who’s really in charge. The authoritative server pointed to ey.com.

Ernst & Young. One of the Big Four accounting firms. An organization that audits major corporations, handles billion-euro merger due diligence, and accesses financial records that could move markets.

Before contacting them, verification was essential. Downloading four terabytes would cross from research into felony territory, so the researcher pulled just the first thousand bytes. File signatures—the „magic bytes“ at the beginning of files—confirmed it: an unencrypted SQL Server backup.

The Five-Minute Window

The researcher knew this scenario intimately. Years earlier, he’d investigated a fintech breach that began with a BAK file publicly accessible for exactly five minutes. An engineer, working late under pressure with a flaky VPN, made a fateful decision: „I’ll set the bucket to public for two minutes, download it, then set it back. What could happen?“

What happened was automated scanners—thousands of them distributed across compromised IoT devices, hacked routers, and pwned cloud instances—swept through and found it. These bots scan the entire IPv4 address space in minutes, racing to find the next exposed storage bucket. The window between „misconfigured“ and „exfiltrated“ measures in seconds, not hours.

That engineer changed the access control back at the five-minute mark. Too late. The entire database was gone. The company’s homepage traffic spiked 400% during that window—not from human visitors, but from automated scrapers probing every endpoint. The company eventually collapsed.

So when this researcher saw the EY backup exposed, he didn’t wonder if someone had taken it. He wondered who hadn’t.

The Response

Neo Security immediately ceased all investigation and scrambled to find a security contact. It was the weekend. No vulnerability disclosure program was apparent. The researcher cold-messaged fifteen people on LinkedIn before finding someone who understood the urgency and connected him to EY’s Computer Security Incident Response Team.

From that moment: textbook perfection. Professional acknowledgment, clear technical communication, no legal threats or defensiveness. One week later, the issue was fully remediated.

The Uncomfortable Truth

If EY—with massive resources, security teams, compliance frameworks, and ISO certifications—can have four terabytes of SQL backups publicly exposed, anyone can. Modern cloud infrastructure moves too fast. Infrastructure is code, deployment is automated, and mistakes happen at scale.

The researcher’s concern isn’t shadowy hackers targeting specific companies. It’s the automation: the massive, distributed scanning infrastructure that never sleeps and finds everything within seconds of exposure.

The lesson is stark: you cannot defend what you don’t know you own. Organizations need the same continuous, automated visibility that attackers possess. They need to find their own exposures first—because in the cloud, five minutes might be four minutes too long.

Acronis comments

Gerald Beuchelt, CISO at Acronis, assesses the leak as follows:

„The disclosure of the EY database highlights one of the most overlooked risks in cybersecurity: unsecured backups. Backups are often considered a routine task, but they typically contain complete copies of running systems – including access data, source code, API keys, and configuration data. If a backup remains online and publicly accessible, anyone who finds it can potentially access the entire digital infrastructure of the company.

This case shows that even large, security-conscious companies can become targets due to a single misconfiguration. Misconfigured cloud storage—such as open S3 buckets or shared snapshots—remains one of the most common causes of large-scale data leaks. Backups should be subject to the same security standards as productive systems: with strict access controls, encryption, and continuous monitoring. They should never be stored in public or shared locations. Automated testing tools should regularly ensure that no storage or database backups are left unprotected on the network.

Equally important are automated configuration management tools for XaaS services such as Microsoft 365. They enable continuous monitoring of a company’s overall security situation. Such tools not only capture backup data, but also ensure that other critical service settings are configured correctly to avoid potential vulnerabilities that could further compromise the security environment.

Ultimately, backup security must be a central component of a company’s overall security strategy. A single exposed backup can undo years of investment in security measures. Proactive audits and consistent configuration management are therefore essential to prevent incidents like this from happening.”