Microsoftov e-poštni hek pokaže nevarno nevarnost podpore strankam


V petek zvečer, Microsoft je poslal e-poštna obvestila neznanemu številu posameznih uporabnikov e-pošte – v Outlooku, MSN-ju in Hotmailu – in jih opozoril na kršitev podatkov. Od 1. januarja do 28. marca letos so hekerji uporabili niz ukradenih poverilnic za Microsoftovo platformo za podporo strankam za dostop do podatkov o računu, kot so e-poštni naslovi v sporočilih, vrstice za sporočila in imena map znotraj računov. Do nedelje je potrdila, da je problem dejansko veliko slabši.

Po tem, ko je techno spletno mesto Motherboard pokazalo Microsoftovo dokazilo o viru, da je obseg incidenta obsežnejši, je družba popravila svojo začetno izjavo, namreč da je za približno 6 odstotkov uporabnikov, ki so prejeli obvestilo, hekerji lahko dostopali tudi do besedila sporočil in priponk. Microsoft je podjetje TechCrunch prej zanikal, da so prizadeta polna e-poštna sporočila.

"Na splošno je" podpora "velika varnostna luknja, ki čaka, da se zgodi."

Dave Aitel, Cyxtera

Morda se zdi nenavadno, da je lahko en sam nabor poverilnic za podporo strankam ključ do tako velikega kraljestva. Toda znotraj skupnosti varnosti, se mehanizmi za podporo strankam in notranji podpori vse bolj obravnavajo kot potencialni vir izpostavljenosti. Po eni strani potrebujejo agenti za podporo dovolj dostopa do računa ali naprave, da lahko dejansko pomagajo ljudem. Toda kot kaže Microsoftov incident, lahko preveč dostopa v napačne roke preide v nevarno situacijo.

"Obravnavali smo to shemo, ki je vplivala na omejeno podskupino potrošniških računov, tako da smo onemogočili ogrožene poverilnice in blokirali dostop storilcev," je za WIRED povedal Microsoft. Podjetje pravi, da "iz obilo previdnosti" je povečala nadzor groženj za račune, na katere vpliva kršitev. Microsoft ne bo komentiral WIRED-a glede obsega napada ali navedel skupnega števila računov, na katere vpliva.

Brez dodatnih informacij od Microsofta je težko opisati namen napada. E-poštni računi so lahko zelo dragoceni za storilce kaznivih dejanj; ljudje jih pogosto uporabljajo za nastavitev drugih računov, kar pomeni, da lahko napadalci sami uporabljajo e-poštni račun za ponastavitev gesel in ogrožanje več storitev. Matična plošča je sporočila, da so napadalci dejansko uporabili svoj dostop do računov iCloud, da bi onemogočili zaklepe za aktiviranje iPhonea. Toda s skoraj trimesečnim dostopom na razpolago je še vedno nejasno, ali so bili napadalci osredotočeni na manjše, ciljno usmerjene posege ali obsežne goljufije.

»Ugotovili smo, da so bile ogrožene poverilnice Microsoftovega agenta za podporo, ki posameznikom izven Microsofta omogočajo dostop do informacij v vašem Microsoftovem e-poštnem računu,« je Microsoft dejal v izjavi, da napad ni posledica grožnje na podlagi notranjih informacij. Toda to postavlja še več vprašanj.

"Včasih je težko po telefonu težko diagnosticirati samo s pojasnilom, zato želite, da lahko uporabnik z visokim privilegijem skoči v račun," pravi Jeremiah Grossman, ki je dve leti delal kot uradnik za informacijsko varnost pri Yahoou v začetku leta 2000 in je zdaj izvršni direktor podjetja za varnost zalog Bit Discovery. »Toda ta sistem podpore strankam ne bi smel biti dostopen na daljavo prek interneta, ampak bi moral biti samo notranji sistem. Torej, kako se je nasprotnik celo povezal z [the Microsoft portal], kaj šele prijaviti se? "

Grossman ugotavlja tudi, da bi Microsoft moral imeti zahtevane račune za podporo strankam s širokim dostopom do avtentikacije z dvema faktorjema ali večfaktorskim preverjanjem, kar bi lahko pomagalo preprečiti to težavo. Na žalost se zdi, da Microsoft ni izjema.

"Naredimo veliko svetovalnih dejavnosti, kjer gremo na katerikoli stroj v podjetju, prikličemo službo za podporo, nato pa lahko pridobimo poverilnice inženirjev za podporo, ko se povežejo z napravo in jih uporabimo za dostop do drugih strežnikov, na primer Strežnik CEO, «pravi Dave Aitel, vodja varnostne tehnologije pri podjetju za varno infrastrukturo Cyxtera. "Na splošno je" podpora "velika varnostna luknja, ki čaka, da se zgodi."

Ključ za vzdrževanje sistema za podporo strankam, pravi Grossman, je ustvariti nadzor nad tem, koliko ljudi ima privilegiran dostop do računa, in skrbno beležiti vse primere, v katerih je uporabniku dostopen račun za revizijo. Inženirske skupine že uporabljajo takšne sisteme za primere, ko je treba skrbno varovati poverilnice, kot so odpravljanje napak ali izpolnjevanje zahtev po podatkih kazenskega pregona.

Če ste od Microsofta prejeli e-poštno obvestilo, morate spremeniti geslo za e-poštni račun in omogočiti preverjanje pristnosti z dvema faktorjema, če še ni vklopljeno. Vendar se uporabniki težko zaščitijo, ko so na milost in nemilost varnosti za podporo strankam, ki je ne morejo nadzorovati. Najmanj, kar bi lahko storil Microsoft, je ponuditi jasno sliko o tem, kaj se je zgodilo – in zakaj.


Več Great WIRED Stories