De volksgezondheidsdienst van Los Angeles County, het grootste county in de Verenigde Staten met bijna tien miljoen inwoners, heeft begin dit jaar met twee datalekken te maken gekregen als gevolg van 'MFA fatigue' en phishingmails. Op 6 februari wist een aanvaller toegang te krijgen tot het Microsoft 365-account van een medewerker, waarbij hij de multifactorauthenticatie door middel van 'MFA fatigue' wist te omzeilen.
Bij 'MFA fatigue' beschikt de aanvaller over de inloggegevens van het doelwit, maar niet de MFA-code om de inlogprocedure succesvol af te ronden. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang tot het account krijgt.
Via het betreffende 365-account kreeg de aanvaller toegang tot persoonlijke informatie van een niet nader aantal genoemd personen. Het ging om naam, geboortedatum, adresgegevens, telefoonnummers, e-mailadressen, social-securitynummer, door de overheid verstrekt ID, medisch dossiernummer, gezondheidsverzekeringsinformatie en medische informatie, waaronder aandoeningen, diagnoses, medicatie, ondergane behandelingen en behandeldatums (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.