E-mail Amerikaanse overheid gestolen na inbraak bij Microsoft
Aanvallers hebben e-mail van de Amerikaanse overheid gestolen nadat ze wisten in te breken op systemen van Microsoft. Het ging onder andere om e-mails waarin inloggegevens tussen Microsoft en klanten werden uitgewisseld. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
Microsoft meldde in januari dat aanvallers door middel van een password spraying-aanval toegang tot een account kregen en daarvandaan meerdere zakelijke e-mailaccounts konden benaderen. Volgens Microsoft is de aanval uitgevoerd door een vanuit Rusland opererend statelijke actor, die bekendstaat als Cozy Bear of APT29. Dit is een andere aanval dan de inbraak op Exchange Online en Outlook.com die vorig jaar plaatsvond en waar de Amerikaanse overheid onlangs een zeer kritisch rapport over het functioneren van Microsoft publiceerde.
Het CISA stelt in een noodbevel voor Amerikaanse overheidsdiensten dat de inbraak op zakelijke e-mailaccounts van Microsoft en de diefstal van correspondentie tussen de Amerikaanse overheid en Microsoft een ernstig en onacceptabel risico voor de overheid vormt. Via het noodbevel worden overheidsinstanties gedwongen om de inhoud van gestolen e-mails te onderzoeken, gecompromitteerde inloggegevens te resetten en aanvullende maatregelen te nemen om ervoor te zorgen dat authenticatietools voor Microsoft Azure-accounts met hogere rechten veilig zijn.
De getroffen overheidsinstanties moeten tokens, wachtwoorden, API keys en andere inloggegevens van gecompromitteerde of mogelijk gecompromitteerde accounts meteen wijzigen. Verder hebben instanties tot 30 april gekregen om de inhoud van gestolen e-mails te onderzoeken. Tevens moet het CISA over de onderzoeken en gecompromitteerde accounts worden ingelicht.
Data-breeches overal, overal statelijke actoren en cybercriminelen buiten de eigen achtertuin opererend.
Nog een wonder dat het nog zo vaak goed gaat.
Vaak een kwestie van echt meer geluk dan wijsheid hebben.
Een bedrijf heeft andere prioriteiten dan overheden.
WTF?
Peter
Een bedrijf heeft andere prioriteiten dan overheden.
Dat er een "noodbevel" uitgestuurd moet worden om te zorgen dat overheidsinstanties de meest basal mitigerende acties starten, zou je genoeg moeten vertellen over de prioriteit bij die overheidsinstanties.
WTF?
Peter
Yup, wat zal dit zijn.
Wachtwoorden maak je zelf, en ook een reset kan je zelf doen.
De global admin kan voor iedereen zijn/haar wachtwoord resetten, en hier heb je er vaak een enkele van (als je het goed doet, en er niet tientallen hebt gemaakt).
Je zou verwachten dat Microsoft enkel credentials hoeft te delen per mail, als bedrijf heeft kunnen aantonen eigenaar vd tenant te zijn, en toegang tot al hun GA accounts 'verloren' zijn gegaan.
Maar in dat geval, wanneer het wachtwoord per mail wordt doorgegeven, zal de gebruiker altijd direct gedwongen worden om het wachtwoord aan te passen.
Daarnaast: dit is volgens mij een vrij unieke situatie (wachtwoorden van alle GAs weg/vergeten) en zou daarom heel sporadisch moeten voorkomen: knap als je zo'n mail van zeer waarschijnlijk lang geleden überhaupt boven tafel weet te vinden.
Wanneer ik dit alles zo schrijf, kan ik niet bedenken om welke accounts gegevens het zou kunnen gaan.
WTF?
Peter
Yup, wat zal dit zijn.
Wachtwoorden maak je zelf, en ook een reset kan je zelf doen.
De global admin kan voor iedereen zijn/haar wachtwoord resetten, en hier heb je er vaak een enkele van (als je het goed doet, en er niet tientallen hebt gemaakt).
Je zou verwachten dat Microsoft enkel credentials hoeft te delen per mail, als bedrijf heeft kunnen aantonen eigenaar vd tenant te zijn, en toegang tot al hun GA accounts 'verloren' zijn gegaan.
Maar in dat geval, wanneer het wachtwoord per mail wordt doorgegeven, zal de gebruiker altijd direct gedwongen worden om het wachtwoord aan te passen.
Daarnaast: dit is volgens mij een vrij unieke situatie (wachtwoorden van alle GAs weg/vergeten) en zou daarom heel sporadisch moeten voorkomen: knap als je zo'n mail van zeer waarschijnlijk lang geleden überhaupt boven tafel weet te vinden.
Wanneer ik dit alles zo schrijf, kan ik niet bedenken om welke accounts gegevens het zou kunnen gaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.