Nieuws

Inbraak op 1,2 miljoen zakelijke Microsoft-accounts per maand

vrijdag 6 maart 2020, 13:51 door Redactie, 15 reacties

Elke maand worden meer dan 1,2 miljoen zakelijke Microsoft-accounts door criminelen gecompromitteerd, mede omdat mensen zwakke en hergebruikte wachtwoorden gebruiken. Dat liet Microsofts Alex Weinert tijdens de RSA Conferentie in San Francisco weten. "Dit is echt een enorm hoog getal als je erover nadenkt", merkte Weinert op. In het geval van een organisatie met 10.000 gebruikers worden er elke maand vijftig gecompromitteerd.

Microsoft verwerkt meer dan 30 miljard inlogpogingen per dag en heeft meer dan een miljard maandelijkse gebruikers. Ongeveer 0,5 procent van de accounts wordt gecompromitteerd. Wat opvalt aan de gecompromitteerde accounts is dat 99,99 procent geen gebruikmaakte van multifactorauthenticatie. "Multifactorauthenticatie had het grootste deel van die gecompromitteerde accounts voorkomen", aldus Weinert. Een populaire techniek die aanvallers toepassen is password spraying, waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.

Iets meer dan veertig procent van de 1,2 miljoen accounts per maand wordt op deze manier gecompromitteerd. Volgens Weinert heeft password spraying een succesratio van één procent. Van elke honderd aangevallen accounts weet een aanvaller op één account in te breken. De aanvallers gebruiken daarbij een verzameling van ongeveer vijftien wachtwoorden per account.

Naast password spraying maken aanvallers ook gebruik van gelekte wachtwoorden die bij websites zijn gestolen. Deze aanvallen werken alleen omdat gebruikers hetzelfde wachtwoord voor meerdere accounts gebruiken. Aanvallers weten via deze methode op iets minder dan veertig procent van de accounts in te breken. "Zestig procent van de gebruikers hergebruikt wachtwoorden", merkte Weinert op. Hij voegt dat veel mensen hun zakelijke accounts in niet-zakelijke omgeving hergebruiken. Om dergelijke aanvallen te voorkomen adviseert Microsoft het inschakelen van multifactorauthenticatie en het uitschakelen van legacy authenticatieprotocollen zoals IMAP, POP en SMTP.

Boots bevriest betalingen via klantenkaart na wachtwoordaanval

Politie lanceert nieuw digitaal meldingsplatform voor burgers

Reacties (15)

06-03-2020, 14:34 door Anoniem

Wauhw dat zijn er niet weinig

06-03-2020, 15:37 door Anoniem

Is 2FA nog niet de standaard hier dan?
Zou het wel moeten worden.

06-03-2020, 16:20 door DLans

Tja, mensen zijn ook zo sterk in het veranderen van hun wachtwoorden: Voetbal2018, Voetbal2019, Voetbal2020 en zo elk jaar maar weer een cijfertje erbij :) Alle connecties die van buiten het interne netwerk komen zouden via MFA moeten lopen.

06-03-2020, 19:34 door Anoniem

Door DLans: Tja, mensen zijn ook zo sterk in het veranderen van hun wachtwoorden: Voetbal2018, Voetbal2019, Voetbal2020 en zo elk jaar maar weer een cijfertje erbij :) Alle connecties die van buiten het interne netwerk komen zouden via MFA moeten lopen.

Wellicht een probleem dat opgelost kan worden als je een wachtwoordfrase kunt ingeven i.p.v. complexe wachtwoorden die niet te onthouden zijn. En wat is er mis met na 3 foute inlogpogingen om het account te blokkeren? eenlangwwisaltijdbeterdaneencomplexww. Oh ja, multifactor authenticatie via het 06 nummer van je smartphone, nou dat nummer ga ik niet afstaan want daar komt ook alleen maar narigheid van.

07-03-2020, 14:19 door Anoniem

Elke maand worden meer dan 1,2 miljoen zakelijke Microsoft-accounts door criminelen gecompromitteerd,

Misschien moeten bedrijven niet alles in de cloud willen zetten. Zeker gevoelige zakelijke data niet.
En voor interne netwerken zijn geen online MS accounts nodig. (Ook al vindt MS misschien van wel)

Dat kan al een hoop schelen.

Vraag:
Als dit zakelijke accounts zijn, waarom dwingt de werkgever (of nog beter MS) dan geen MFA en/of sterke wachtwoorden af?
Kan dit soms niet bij (online) MS accounts?

07-03-2020, 17:03 door karma4

Door Anoniem: ...
Misschien moeten bedrijven niet alles in de cloud willen zetten. Zeker gevoelige zakelijke data niet.
En voor interne netwerken zijn geen online MS accounts nodig. (Ook al vindt MS misschien van wel) …

Het ligt niet aan die accounts of MFA maar aan het onbegrip wat:
- de gebruiker nodig heeft
- wat hem opgelegd wordt
- en wat echt veilig is.
Die prutsers van ict beheer verklooien het altijd zelfs als het een devops ict-er marketing sales is.

07-03-2020, 20:07 door Anoniem

Door karma4:

Wat een trollen reactie weer Karma.

m$ moet 2FA en sterke wachtwoorden afdwingen.

07-03-2020, 21:55 door Anoniem

Voor Fido2 moet je uwe AD in Azure steken - wel dat Microsoft z'n rommeltje dan maar houdt. Waarom doet men dit???
Om elkeen te verplichten zijn data in handen van Microsoft te geven - eens het zover is - kan men de prijzen serieus laten stijgen.
Gelegaliseerde datakaping dus - dat is het zakelijke plan.

07-03-2020, 23:41 door souplost - Bijgewerkt: 07-03-2020, 23:41

Wat is er mis met IMAP en smtp?

08-03-2020, 07:37 door Anoniem

Door Anoniem:

Door karma4:

Wat een trollen reactie weer Karma.

m$ moet 2FA en sterke wachtwoorden afdwingen.

Precies, dat is wat b.v. Samsung nu ook doet:
https://tweakers.net/nieuws/164338/samsung-forceert-tweestapsverificatie-voor-alle-accountgebruikers.html

08-03-2020, 07:42 door Anoniem

Door souplost: Wat is er mis met IMAP en smtp?

Niks mits encrypted.

08-03-2020, 11:38 door Anoniem

Door Anoniem: Voor Fido2 moet je uwe AD in Azure steken - wel dat Microsoft z'n rommeltje dan maar houdt. Waarom doet men dit???
Om elkeen te verplichten zijn data in handen van Microsoft te geven - eens het zover is - kan men de prijzen serieus laten stijgen.
Gelegaliseerde datakaping dus - dat is het zakelijke plan.

Goed onderbouwde mening. NOT....
Je kunt altijd iets anders neer zetten als je wilt. Volgens mij kun je bijvoorbeeld DUO icm ADFS en FiDO2 gebruiken.
Maar de meeste bedrijven hebben hun AD al in AAD zitten. Dus maakt het vrij weinig uit.

Door Anoniem:

Elke maand worden meer dan 1,2 miljoen zakelijke Microsoft-accounts door criminelen gecompromitteerd,

Omdat dit een keuze van de werkgever is om dit in te richten. Of dat een verstandige keuze is, is een tweede. MFA heeft ook diverse nadelen waar je als werkgever iets voor moet verzinnen. Zowel technisch als procedures.
Immers MFA verwijst bij de Azure MFA een APP. En gezien de discussies die hier al plaats vinden over een prive telefoon, zie je meteen de uitdaging hierbij.

Door souplost: Wat is er mis met IMAP en smtp?

Dat het vatbaar is voor exact de zelfde problemen?

Dus wat is de toevoeging van IMAP of SMTP?

08-03-2020, 11:43 door Aurik

Door Anoniem:

Door karma4:

Wat een trollen reactie weer Karma.

m$ moet 2FA en sterke wachtwoorden afdwingen.

En wat is het verschilt met jouw reactie? MS schrijven als M$ is ook gewoon trollen op de zelfde manier.

Afgezien hij nog gelijk heeft met zijn punten op zijn laatste opmerking na.

08-03-2020, 11:49 door Aurik

Door souplost: Wat is er mis met IMAP en smtp?

Dat het misschien vatbaar is voor exact het zelfde probleem? Het is een UserID / Password authenticatie is dus vatbaar voor oa password spraying of gewoon buitgemaakte wachtwoorden.
En dit niet door alle firewalls heen gaat. Ik kan bij heel weinig klanten IMAP verbindingen maken. En SMTP is helemaal uit uit den boze. Geen firewall laat dit door richting het Internet.

Het gebruikt van IMAP en SMTP lost dus niet veel op. Afgezien je dit ook gewoon met je Microsoft Account kunt gebruiken als je mail in Office 365 zit.

Daarnaast is je Microsoft Account (eigenlijk Azure AD Account) voor veel meer te gebruiken is.
Mijn OneDrive, sharepoint Uren registratie, email, Azure authenticatie zitten ook allemaal achter dit Azure AD account. Wel met MFA natuurlijk.

Het is bij de meeste bedrijven de centrale authenticatie. Alles wordt hieraan gekoppeld aan via SAML. Belangrijk is dan natuurlijk wel de MFA authenticatie configuratie.

08-03-2020, 11:59 door The FOSS

Door Aurik:

Door Anoniem:

Door karma4:

...
Die prutsers van ict beheer verklooien het altijd zelfs als het een devops ict-er marketing sales is.

Wat een trollen reactie weer Karma.

m$ moet 2FA en sterke wachtwoorden afdwingen.

En wat is het verschilt met jouw reactie? MS schrijven als M$ is ook gewoon trollen op de zelfde manier.

Afgezien hij nog gelijk heeft met zijn punten op zijn laatste opmerking na.

Maar met die laatste onnodige en denigrerende opmerking zet hij de toon en dat is wat met trollend wordt bedoeld.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer