SIKKERHET

Mer enn 1,2 millioner Microsoft-kontoer ble kompromittert i januar

Så godt som alle hadde én ting til felles.

Nesten alle kontoinnbrudd hos Microsoft-kunder skjer i kontoer hvor flerfaktor autentisering ikke er aktivert.
Nesten alle kontoinnbrudd hos Microsoft-kunder skjer i kontoer hvor flerfaktor autentisering ikke er aktivert. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
9. mars 2020 - 13:59

Rundt 0,5 prosent av mer enn 1 milliarder kontoene som er registrert i Microsofts Azure Active Directory-tjeneste, blir kompromittert hver måned. Dette inkluderer både bedriftskontoer og personlige kontoer, blant annet knyttet til Office 365. 

– Vær forsiktig i julehandelen dersom du ser tilbud som er for gode til å være sanne, advarer Telenor Norge.
Les også

Advarer mot nettsvindel: «Alle» blir utsatt for det hver dag

Dette fortalte Lee Walker og Alex Weinert fra Microsoft i et foredrag under RSA-konferansen i slutten av februar. Sistnevnte er selskapets direktør for identitetssikkerhet. Et opptak av foredraget er tilgjengelig her. Det er omtalt av blant annet The Register og ZDNet. Presentasjonsfilen fra foredraget er tilgjengelig på denne siden.

Spray og replay

Rundt 40 prosent av kompromitteringene skyldes enkle spray-angrep, hvor angripere tar i bruk databaser med brukernavn og forsøker å kombinere disse med de vanligste passordene. 

Omtrent like mange av kompromitteringene skyldes såkalte replay-angrep, som utnytter det faktum at mange bruker samme brukernavn og passord på mange ulike steder. Svært mange slike brukernavn- og passordkombinasjoner har blitt lekket fra andre tjenester enn Microsofts. 

De resterende kompromitteringene skyldes mer avanserte angrep, slik som phishing. 

Flere faktorer

I mellom 97 og 99,9 prosent av tilfellene har de kompromitterte kontoene manglet multifaktor autentisering (MFA), altså annen verifisering enn brukernavn og passord. 

Én ting er det at bare svært få av brukerne har tatt i bruk MFA. Andelen skal være på 11 prosent hos bedriftskundene. En annen faktor er det at mange benytter eldre tjenester som ikke støtter MFA, slik som e-postprotokoller som SMTP, IMAP og POP, men også gamle autentiseringsprotokoller som støttes av blant annet Exchange og Outlook.

Kontokompromitteringer rangert etter bruk av protokoll. <i>Illustrasjon:  Microsoft</i>
Kontokompromitteringer rangert etter bruk av protokoll. Illustrasjon:  Microsoft
Brukere med konto hos Internet Archive er trolig berørt av datalekkasjen.
Les også

Internet Archive hacket – 31 millioner kontoer lekket

For brukere som benytter Microsofts tjenester med SMTP-protokollen, er sannsynligheten for at kontoen blir kompromittert på 7,2 prosent.

Microsoft skal ha observert en nedgang i 67 prosent i mengden av kontokompromitteringer hos kunder som deaktiverer tilgangen til de gamle protokollene. 

Modern Auth

I forbindelse med Outlook.com har Microsoft lenge tilbudt det selskapet kaller for Modern Auth for IMAP, som støtter MFA og OAuth. Dette har derimot ikke vært tilgjengelig for kommersielle Office 365-kunder før helt nylig, da Microsoft kunngjorde slik støtte i forbindelse med både POP og IMAP, i tillegg til andre forbedringer. 

Dette forutsetter selvfølgelig at epostklienten som brukes, også støtter Modern Auth. 

Foredragsholderne fra Microsoft innrømmer at det ikke bare er enkelt å droppe støtten for de gamle protokollene. I presentasjonen sammenlignes dette med å utføre en vanskelig operasjon i mørket. Det er likevel nødvendig. Støtten for «Basic auth» for Exchange Web Services fjernes i oktober i år.

Open AI står bak Chat GPT.
Les også

Verdsettes til 1660 milliarder kroner

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.