Berichtendiensten Microsoft gekraakt

Afgelopen vrijdag meldde Microsoft de digitale inbraak bij Outlook, Hotmail en MSN. Tussen 1 januari en 28 maart Microsoftlogovan dit jaar zouden e-krakers  er in zijn geslaagd allerlei gegevens van gebruikers te stelen. Zondag moest het Amerikaanse bedrijf erkennen dat de ‘buit’ groter was dan aanvankelijk gedacht. De krakers zouden zelfs je berichten hebben kunnen lezen, meldde Motherboard. Eerder had Microsoft dat ontkend.
Dat zou allemaal verlopen zijn via gegevens die Microsoft bezit voor klantondersteuning. Bedrijven zien klantondersteuning in toenemende mate als een instrument om zich te presenteren. Daarbij is toegang tot bepaalde gebruikersgegevens handig, maar, zo lijkt het, ook handig voor kwaadwillenden.
Het zou volgens Microsoft om een beperkt aantal slachtoffers gaan en er zouden maatregelen zijn genomen om de gaten te dichten. Ook zou ‘bij wijze van extra voorzorg’ zijn bekeken of er nog meer slachtoffers zouden kunnen zijn. Over aantallen wil het bedrijf niet praten.
Zonder verdere informatie van Microsoft is het moeilijk te zeggen waar de krakers op uit waren. Meelprofielen kunnen uiterst handig zijn voor mensen met misdadige bedoelingen. Volgens Motherboard zouden de aanvallers hun buit hebben gebruikt om in te breken in de ‘wolk’ van Apple (iCloud) om de instellingen voor iPhones te veranderen, maar drie maanden later is het nog steeds niet duidelijk wat de inbrekers voorhadden (-hebben).

Klantondersteuning

“Soms is een probleem moeilijk via de telefoon uit te leggen”, zegt Jeremiah Grossman, die in de webbeveiliging bij Yahoo heeft gewerkt en tegenwoordig een eigen bedrijf heeft (Bit Discovery). “Dus wil je gebruikersrechten om iets in het meelprofiel te kunnen doen, maar zo’n klantenondersteuningssysteem moet niet op afstand toegankelijk zijn via internet, maar alleen via een intern systeem.” Een tweetrapsidentificatie zou dit probleem volgens hem al hebben voorkomen en Microsoft staat in deze niet alleen. Ondersteuning is volgens webbeveiligers een groot potentieel lek. Daar mag wel wat aan gebeuren. Wie hebben er, bijvoorbeeld, toegang tot dat ondersteuningssysteem?

Als je bericht van Microsoft hebt gekregen dat er iets mis is, dan moet je je wachtwoord veranderen (is goed dat bij tijd en wijlen toch wel te doen) en is het ook handig de tweetrapsidentificatie/-aanmelding in te schakelen, maar het is moeilijk je afdoende te beschermen als je beveiliging afhankelijk is van iets/iemand waar je geen invloed op hebt. Microsoft zal met de billen bloot moeten.

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.