Beheer

Security
zwakste schakel

Mens blijft zwakste schakel in cybersecurity, ook bij Microsoft

Goede accountbeveiliging voor externe gebruikers blijkt geen garantie dat beveiliging intern op orde is.

© Shutterstock
25 april 2019

Onlangs werd bekend dat hackers via de inloggegevens van een supportmedewerker toegang hadden tot verschillende e-maildiensten van Microsoft. Ja, Microsoft, dat juist zo goed bezig is met het aanbieden en promoten van bijvoorbeeld tweestapsverificatie.

Hoe de hackers drie maanden lang toegang hadden tot de mailsystemen van Hotmail.com, Outlook.com en MSN.com is niet helemaal duidelijk. Er zijn inloggegevens van een supportmedewerker bemachtigd, maar of die supportmedewerker in dienst was van Microsoft of van een ingehuurde partij is niet bekend gemaakt. Ook blijft onduidelijk hoeveel e-mailaccounts van gebruikers gevaar liepen en in welke mate.

Inconsequent

Microsoft zei eerder tegen TechCrunch dat het om een “beperkt aantal” gaat en dat de hackers mogelijk toegang hadden tot contacten en onderwerpregels, maar niet tot de inhoud van e-mails of tot wachtwoorden van gebruikers. Later is aan die verklaring een belangrijke nuancering gegeven: de inhoud van sommige mails zou toch toegankelijk zijn geweest, wist Motherboard te melden op basis van doorgespeelde screenshots. Zo'n 6 procent van de gecompromitteerde Outlook.com-accounts is ook qua berichtinhoud gehacked geraakt, erkende Microsoft vervolgens.

Dit nieuws lijkt aan te tonen dat Microsoft (en/of de bedrijven waar het mee samenwerkt) intern niet consequent de veiligheidsvoorzieningen gebruikt die het aan zijn externe gebruikers aanbiedt. Zo is tweestapsverificatie langzaamaan de standaard bij het inloggen. Goed, ook tweestapsverificatie is te hacken, maar zouden de bewuste cybercriminelen die moeite wel genomen hebben? Ik vraag me sterk af of de supportmedewerker wel 2FA gebruikt heeft.

Ben jij écht jij?

En in een eerdere blog schreef ik dat Microsoft voor een aantal diensten al doorlopende authenticatie toepast. De systemen houden honderden factoren bij – zeg, hoe lang je erover doet om je wachtwoord in te typen of welke browser je het meest gebruikt – om te checken of jij écht jij bent. Als er handelingen worden uitgevoerd die niet in jouw normale gedragspatroon passen, krijg je ter controle een e-mail of bericht op je telefoon. In het account van de getroffen supportmedewerker zouden afwijkende handelingen of gekke inlogtijdstippen met dit systeem toch meteen moeten zijn opgemerkt – niet pas drie maanden later. Het is dus ook niet erg waarschijnlijk dat hier doorlopende authenticatie is gebruikt.

Waarom deze beveiligingstools in dit geval (hoogstwaarschijnlijk) niet zijn gebruikt blijft gissen. Tweestapsverificatie had de hackers mogelijk kunnen tegenhouden, doorlopende authenticatie had de periode waarin de hackers toegang hadden sterk kunnen verkorten. Had de methode van doorlopende authenticatie nog uitgemaakt? Misschien wel: zo krijgen gebruikers van Google direct een waarschuwende meldingsmail als er vanaf een nieuw apparaat wordt ingelogd op hun account.

Menselijke misser

Hoe dan ook, dat hackers toegang kregen tot Microsofts e-maildiensten door eenvoudigweg de inloggegevens van een supportmedewerker te achterhalen toont opnieuw aan dat de mens de zwakste schakel is in de beveiliging. Met goede technologie kun je je als bedrijf deels tegen cybercriminelen wapenen. Maar beter is het om aan de voorkant – bij de medewerker zelf – een verdedigingswal op te werpen. Blijf als organisatie je werknemers (en externe krachten die toegang hebben tot de systemen!) continue bewust maken van de gevaren van phishing en social engineering, en geef ze de training die ze nodig hebben om de risico’s af te wenden. Ook als je Microsoft heet.

Reactie toevoegen