Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2 - Computer - Nieuws

Criminelen hebben drie maanden toegang gehad tot een onbekend aantal e-mailaccounts van Microsoft-diensten Outlook, Hotmail en MSN. Ze kregen die toegang via een supportportaal van Microsoft. Getroffen gebruikers hebben een e-mail gehad.

Motherboard heeft screenshots ingezien die bewijzen dat kwaadwillenden toegang hebben gehad tot de inhoud van e-mails. Microsoft heeft tegenover de website bevestigd dat dit het geval is geweest in sommige gevallen. Motherboard spreekt van een groot aantal accounts, maar noemt geen cijfer. Microsoft noemt zelf ook niet hoeveel gebruikers zijn getroffen, maar spreekt van een 'beperkte groep'.

Volgens Motherboard konden de criminelen via een supportportaal alle e-mailaccounts benaderen, met uitzondering van zakelijke accounts. Dat betekent dat betaalde e-mailaccounts niet getroffen zijn. Microsoft stuurde getroffen gebruikers een e-mail waarin staat dat de inloggegevens van een supportmedewerker gecompromitteerd zijn en dat kwaadwillenden daardoor tussen 1 januari en 28 maart toegang hebben gehad tot het systeem.

Tegenover Motherboard zegt Microsoft dat er aan klanten waarvan de inhoud van e-mails is ingezien een andere e-mail is gestuurd, waarin dat ook expliciet vermeld wordt. Zaterdag bevestigde Microsoft tegenover TechCrunch het misbruik van het supportportaal. Aanvankelijk zei de eigenaar van diensten als Outlook, MSN en Hotmail dat de criminelen alleen de e-mailadressen en onderwerpregels konden zien, maar niet de inhoud.

Het artikel van Motherboard claimt dat kwaadwillenden zes maanden toegang hebben gehad tot accounts. Microsoft ontkent dat en verwijst daarbij naar de genoemde periode tussen 1 januari en 28 maart. In een verklaring tegenover The Verge zegt Microsoft dat er bij 6 procent van de getroffen gebruikers e-mails zijn ingezien. Hoeveel accounts zijn getroffen, wil Microsoft niet zeggen.

De bron van Motherboard zegt dat de gehackte accounts zijn misbruikt om iCloud binnen te dringen en het activeringsslot van gestolen iPhones te verwijderen. Microsoft heeft het misbruik ontdekt in maart en maatregelen genomen.

Update 16:19: Uit reacties op het forum van Tweakers en onder dit artikel blijkt dat ook Nederlandse account zijn getroffen. De e-mail met de waarschuwing is verstuurd door privacycomms@microsoft.com en kan ook in de map met spam staan.

Update 2, 19:43: Tweakers heeft aan Microsoft Nederland gevraagd hoeveel mensen er zijn getroffen en of de Autoriteit Persoonsgegevens is ingelicht. De woordvoerder van het bedrijf geeft in een Engelstalige reactie aan dat 'alle relevante instanties' zijn ingelicht. Een inhoudelijke reactie over het aantal accounts geeft Microsoft niet.

Reacties (47)

Kpt. Sputnik 15 april 2019 17:13

Waarschijnlijk omdat ik al standaard de 2FA aan heb staan zal ik niet snel slachtoffer worden van dit soort aanvallen.

Overigens wordt er in het Reddit topic waar naar gelinkt wordt ook nog een interessante tip genoemd :
"FYI, you can stop these attempts, just create a new outlook alias, set that as primary alias and then disable login for the original email address, you can continue to use the original address forever and just use the new one to login instead.

No one will know your new alias address and thus cant even attempt to use it to login.

If they try to use your original email they will simply be told it does not exist.

It works a treat i have done it myself. Went from loads of people attempting to login to my account to absolutely zero in an instant. Haven’t had any unusual activity since i did this trick 2 years ago.

If you dont fancy that a strong password with 2FA should suffice"

Oftewel inloggen via een Outlook-alias maar emailen met je vaste emailadres.

wvalk @Kpt. Sputnik • 15 april 2019 21:51

Je tips zijn fantastisch, maar zoals in het bron artikel staat vermeld lijkt dit op het lekken van credentials van een microsoft support agent.
"the source told Motherboard that this abuse of a customer support portal allowed the hackers to gain access to any email account as long as it wasn’t a corporate level account"
waarop microsoft antwoord:
“We have identified that a Microsoft support agent’s credentials were compromised, enabling individuals outside Microsoft to access information within your Microsoft email account,”

Als de bron van Motherboard dit heeft bewezen in zijn screenshots lijkt mij 2FA of welke vorm van beveiliging afdoende.

Hij lijkt mij dus verstandiger om 2FA af te dwingen voor Microsoft support agent's, of welke support agent dan ook die toegang heeft tot dit soort gegevens.

SmiGueL @Kpt. Sputnik • 15 april 2019 21:50

Waarschijnlijk omdat ik al standaard de 2FA aan heb staan zal ik niet snel slachtoffer worden van dit soort aanvallen.

Of je 2FA aan hebt staan lijkt me in dit geval niet relevant?
Ook mensen met 2FA aan hebben deze email gekregen.

Ze hebben toegang gehad tot "the hackers could have accessed email folder names, the subject lines of emails, and the names of other email addresses the user communicated with." en dit dus zonder je wachtwoord te weten/raden.

Ik mag hopen dat als ze wachtwoorden achterhaald hebben MS bij iedereen een password reset uit heeft gevoerd..

Wim-Bart @Kpt. Sputnik • 15 april 2019 17:25

Waarschijnlijk omdat ik al standaard de 2FA aan heb staan zal ik niet snel slachtoffer worden van dit soort aanvallen.

Overigens wordt er in het Reddit topic waar naar gelinkt wordt ook nog een interessante tip genoemd :
"FYI, you can stop these attempts, just create a new outlook alias, set that as primary alias and then disable login for the original email address, you can continue to use the original address forever and just use the new one to login instead.

No one will know your new alias address and thus cant even attempt to use it to login.

If they try to use your original email they will simply be told it does not exist.

It works a treat i have done it myself. Went from loads of people attempting to login to my account to absolutely zero in an instant. Haven’t had any unusual activity since i did this trick 2 years ago.

If you dont fancy that a strong password with 2FA should suffice"

Oftewel inloggen via een Outlook-alias maar emailen met je vaste emailadres.

Dit is een hele handige tip. Eigenlijk heb ik dat ooit zelf al gedaan toem met de merger van linked in en MS opeens de account gegevens gemerged werden en mijn Linkd In account gecompromiteerd bleek te zijn. Toen de login van die usernaam uitgezet en overgeschakeld naar een andere alias die ik niet gebruik om mail te versturen/ontvangen.

maratropa @Kpt. Sputnik • 15 april 2019 21:01

ik vraag het me af; als MS voor outlook accounts nog basic authentication aan heeft staan voor bijv imap en smtp dan zul je nog steeds password spray attacks op die accounts zien..

Ik kan er weinig over vinden maar uit ervaring weet ik iig dat bij office 365 met een geupgrade azure ad je goed kon zien dat password spray attacks pas stoppen als je basic auth op smtp en imap etc uitzet op de exchange server zelf.Daarmee omzeilden ze namelijk 2fa, wat ik echt bizar vond eigenlijk...

wvalk @maratropa • 15 april 2019 22:13

Voor Office365 kun je Azure MFA inschakelen voor dit soort toepassingen heb je dan zogenaamde Application Passwords. Hiermee is het dus mogelijk om password spray attacks te voorkomen.

Hierdoor kun je niet meer inloggen middels gebruikersnaam/password maar middels gebruikersnaam/app password.

https://docs.microsoft.co...on-end-user-app-passwords

Trommelrem @wvalk • 30 april 2019 09:39

App passwords? Dat is een security leak op zichzelf. Daar moet je juist zo snel mogelijk vanaf.

FairPCsPlease @Kpt. Sputnik • 15 april 2019 18:25

Als je die tip gebruikt en je gebruikt je hotmail-adres om in te loggen op andere sites, moet je dan als mail-adres je oude adres opgeven of moet je daar dan ook dat nieuwe adres gebruiken? Hoe werkt dat?

Kpt. Sputnik @FairPCsPlease • 15 april 2019 22:20

Ik heb het zelf andersom gedaan, een alias gemaakt als dump adres voor nieuwsbrieven en diverse andere accounts. Deze alias gebruik ik niet om in mijn MS-account in te loggen maar ik kan er eventueel wel mee emailen en emails ontvangen.
Wanneer dat emailadres de inlognaam is functioneert dat prima.

Trommelrem @Kpt. Sputnik • 30 april 2019 09:38

Er is sprake van een tamper bij iemand met delegated admin rechten. Het wijzigen van je loginnaam, je wachtwoord of het activeren van MFA heeft geen zin. Denken dat je veilig bent achter je muur is in feite net zo veilig zijn als men dacht achter de muur in de film Waterworld. Het enige wat hiertegen helpt is IRM, bijvoorbeeld met Azure AD Premium P1 of P2.

[Reactie gewijzigd door Trommelrem op 22 juli 2024 23:15]

J-roenn 15 april 2019 15:40

Had de tweaker die dit topic opende vrijdag al gezien...
Microsoft datalek

blijft een raar verhaal met de berichten die vanuit Microsoft in de map ongewenst terechtkomen...

mjansen2016 @J-roenn • 15 april 2019 15:57

Zie mijn bericht hieronder. ik dus ook, maar niet alleen van MS.. ook mislukte inlogpogingen en wachtwoordwijzigingen die ik zelf niet had aangevraagd.

Auteur

Xtuv @J-roenn • 15 april 2019 16:25

Dank voor de toevoeging! Ook aan de anderen die gereageerd hebben dat ze de mail hebben ontvangen. Update gemaakt en inmiddels ook een poll onder het artikel gezet. Ik doe ook navraag bij Microsoft Nederland.

[Reactie gewijzigd door Xtuv op 22 juli 2024 23:15]

HollowGamer @J-roenn • 15 april 2019 23:29

Niet echt professioneel, bij Protonmail krijgen deze berichten een ster en melding dat het om een officiële bericht gaat.

MrTre 15 april 2019 15:40

Volgens Motherboard konden de criminelen via een supportportaal alle e-mailaccounts benaderen, met uitzondering van zakelijke accounts. Dat betekent dat betaalde e-mailaccounts niet getroffen zijn.

Dus als ik een Office 365 voor thuis abonnement hebt (=ik betaal ervoor) ben ik een zakelijk account en ben ik dus niet getroffen? Of lees ik dat verkeerd?

TheVMaster Moderator WOS @MrTre • 15 april 2019 15:46

Office 365 voor thuis...dat gaat niet om een mailbox, maar om de Office suite...je doelt op Office 365 Home of Personal denk ik?

MrTre @TheVMaster • 15 april 2019 15:51

Ik doel inderdaad op Office 365 Home.

Je hebt gelijk, dat is een suite: Office lokaal installeren, 1TB OneDrive opslag, 60 min Skype minuten per maand... en een mailbox.

Maargoed, ik ben met mijn office 365 for home subscription dus niet getroffen?

TheVMaster Moderator WOS @MrTre • 15 april 2019 16:00

Eh...het gaat hier om Outlook.com (mail) dus nee je Office 365 subscription valt daar niet onder. Als je overigens inlogt met een @outlook.com (of Microsoft Account), dan zou ik wel even mijn wachtwoord wijzigen...en ook even Two-Step verificatie inschakelen.

Caayn @TheVMaster • 15 april 2019 16:12

Bij een Office365 abonnement valt Outlook.com er ook onder. Je krijgt een aparte versie bijv zonder reclame en een grotere inbox.

Van Microsoft zelf: source

quote: office 365 Home/Personal
•Outlook.com met geavanceerde beveiliging, geen reclame en een postvak van 50 GB voor maximaal zes gebruikers

TheVMaster Moderator WOS @Caayn • 15 april 2019 16:24

Thanks voor de toevoeging. De Office 365 Home/Personal licentie hangt natuurlijk an een Outlook.com account en je krijgt daar idd 'Premium' features....

Laurens-R @MrTre • 15 april 2019 15:45

Dat lees je niet verkeerd

Croga

@MrTre • 15 april 2019 15:47

Dus als ik een Office 365 voor thuis abonnement hebt (=ik betaal ervoor) ben ik een zakelijk account en ben ik dus niet getroffen? Of lees ik dat verkeerd?

Microsoft kent daar verschillende abonnementen voor. Ik heb Office365 privé en daar zit geen hosted EMail bij. Ik heb Office365 klein zakelijk voor EMail. Dus als je een Office365 abonnement hebt met hosted EMail dan heb je inderdaad een zakelijk account.

the_stickie @MrTre • 15 april 2019 18:27

Hier de verschillen tussen een "Home" en "business"

ik interpreteer de beschikbare gegevens als volgt: een account met toegang tot het adminplatform van outlook.com is gelekt. Business abonnementen hebben een eigen adminplatform en authenticatiesysteem en zijn dus niet getroffen. De zakelijke eindgebruikers hebben immers niet allemaal een Microsoft account (nodig).
Office 365 gebruikers hebben wél elk een Microsoft account nodig en zijn dus, behalve een paar features, gewone gebruikers, geen zakelijke en dus mogelijk getroffen.

Ikzelf ben overigens (ook) '365 Home' gebruiker en heb geen enkele communicatie van Microsoft hieromtrent ontvangen.

ASS-Ware 15 april 2019 15:46

Quote:
Microsoft stuurde getroffen gebruikers een e-mail waarin staat dat de inloggegevens van een supportmedewerker gecompromitteerd zijn en dat kwaadwillenden daardoor tussen 1 januari en 28 maart toegang hebben gehad tot het systeem.

Dus een supportmedewerker kan bij de mail van klanten?
Waarom?

Berlinetta @ASS-Ware • 15 april 2019 16:21

Geen idee, maar dit doet mij denken aan het OneDrive geval. Waarbij er ongelimiteerde opslag was voor bepaalde klanten. Maar niet de bedoeling was om DVD daarop te slaan. (Wat dus een Microsoft medewerker heeft gezien.) Waardoor het heel gauw klaar was met "ongelimiteerde" opslag. Iemand kon er gewoon letterlijk inkijken.

Ice-Rabbit @Berlinetta • 15 april 2019 16:42

Dat wordt volledig automatisch gedaan. Daar hoeft een medewerker niet naar te kijken.

Zer0 @ASS-Ware • 15 april 2019 16:48

Dus een supportmedewerker kan bij de mail van klanten?

Nee, maar wel bij de password reset knop....

Quilt 15 april 2019 15:41

"De bron van Motherboard zegt dat de gehackte accounts zijn misbruikt om iCloud binnen te dringen en het activeringsslot van gestolen iPhones te verwijderen. Microsoft heeft het misbruik ontdekt in maart en maatregelen genomen."

Amai. Is dat het beste wat ze konden bedenken?
CEO-fraude of handel met voorkennis brengt toch veel meer geld op.

DJMaze @Quilt • 15 april 2019 15:46

Misschien dat deze er ook één is. Deze is echter nog niet duidelijk.
Mail gehackt en misbruikt om geld te vragen aan contacten

Stoelpoot @Quilt • 15 april 2019 15:48

Handel met voorkennis is een ontzettend hoge risk/effort/reward. Je moet in de talloze accounts net iemand vinden op een hoge positie die met een gratis Outlook-account communiceert, die net een grote beslissing maakt, en dan ook nog zonder zo veel logins uit te voeren vanaf een kleine hoeveelheid systemen dat de alarmbellen bij Microsoft niet afslaan.

MPAnnihilator 15 april 2019 15:47

Ik heb net even nagekeken en zit er ook tussen precies. Wel leuk dat emails van privacycomms@microsoft.com om je te waarschuwen van dit event, dan wel in hun eigen product als spam aanzien worden. Nu het verwondert me eerlijk gezegd niet. MS Anti Spam, Forefront, Hotmail, hun O365 email, ... hun Anti Spam is gewoon ondermaats. Ze hebben bij veel pro klanten vanalles gratis zitten geven in gigantische pro bundels en zo andere Anti Spam producten de markt uitgedreven, maar helaas werkt hun Anti Spam verre van optimaal. Mails die op het zicht duidelijk spam zijn, worden gewoon doorgelaten. Om maar te zwijgen van spam detectie in niet Engelstalige emails.
( staat los van wat hier nu gebeurd is in feite, en andere Anti Spam producten kunnen ook wel eens de mist in gaan, maar toch... ik sta er niet van te kijken )
Edit : typo's

[Reactie gewijzigd door MPAnnihilator op 22 juli 2024 23:15]

haling @MPAnnihilator • 15 april 2019 16:04

Wel leuk dat emails van privacycomms@microsoft.com om je te waarschuwen van dit event, dan wel in hun eigen product als spam aanzien worden

Briljante zet van MS; zo leest bijna niemand hun schuldbekentenis! $_/-\o_$

Cergorach

Networking en security

@MPAnnihilator • 15 april 2019 16:09

Ik vermoed dat een hoop mensen het hebben gemarkeerd als SPAM en vervolgens het hele Outlook.com systeem het bij iedereen is gaan markeren als SPAM, wat natuurlijk niet vreemd zou zijn.

mjansen2016 15 april 2019 15:40

Mogelijk offtic, mogelijk gerelateerd..

Zaterdag zat iemand zowel aan mijn GoG als mijn Steam-account te rommelen.. Schijnbaar waren ze ook mijn mailbox in, gezien ze handmatig berichten aan het verwijderen waren, steam en Gog afzonderlijk hersteld, outlook WW veranderd, overgeschakeld naar tweetraps-authenticatie..

Hierna hing het gefrommel in mijn mailbox op.. frappant is dat ik 2 maanden eerder een waarschuwing had dat ik in zou proberen te loggen vanuit maleisië, waarvan ik terugkoppelde dat ik dat niet was.. En alles andere aanlogpogingen vanuit NL gekomen zijn op mijn account.

[Reactie gewijzigd door mjansen2016 op 22 juli 2024 23:15]

Wim-Bart @mjansen2016 • 15 april 2019 16:52

Had ik ook gehad, daarna direct 2FA aangezet.

Bor Coördinator Frontpage Admins / FP Powermod 15 april 2019 16:29

Motherboard spreekt van een groot aantal accounts, maar noemt geen cijfer. Microsoft noemt zelf ook niet hoeveel gebruikers zijn getroffen, maar spreekt van een 'beperkte groep'.

It's all in the eye of the beholder. Wat voor de een een groot aantal is kan voor de ander een beperkte groep zijn. Op bijvoorbeeld een miljoen accounts zijn 20 duizend accounts een beperkte groep maar tegelijkertijd zijn die zelfde 20 duizend accounts een fors aantal. Het is natuurlijk ook een kwestie van diplomatie en wat een bedrijf naar buiten wil brengen.

Jammer dat er geen meer specifieke cijfers bekend zijn.

SCS2 @Bor • 15 april 2019 18:34

Maar als MicroSoft zelf al spreekt over een groot aantal, dan zal het ook wel echt heel groot zijn.

Niet het feit alleen dat ze het in de perskamer niet hebben kunnen verdraaien naar 'valt wel mee' (zoals ieder groot bedrijf altijd zal proberen).

Maar ook omdat zij in vele miljoenen accounts denken, en aantallen als 10.000 niets voorstellen.

Add: SED heeft gelijk, Motherboard spreekt van een groot aantal accounts"

[Reactie gewijzigd door SCS2 op 22 juli 2024 23:15]

SED @SCS2 • 15 april 2019 20:00

Microsoft noemt zelf ook niet hoeveel gebruikers zijn getroffen, maar spreekt van een 'beperkte groep'.
MS zelf spreekt dus NIET over een "groot aantal".

Frost_Azimov 15 april 2019 15:50

En daarom is het een goed idee Lockbox als O365 feature te overwegen als zakelijke customer (hoewel er in dit geval geen zakelijk account lijken te zijn gecompromitteerd)

gielie 15 april 2019 16:01

Ik heb geen mail gekregen, ik krijg heel vaak security mails waar ik dan moet inloggen en die gaan direct naar de spam map maar kan ik ergens nakijken of mijn adres er ook tussen zit? Een soort van check, weet iemand dat?

Op dit item kan niet meer gereageerd worden.

Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2

Outlook, lookout

Lees meer

Reacties (47)

Sorteer op:

Weergave: