Met een groot marktaandeel is het niet meer dan normaal dat Microsoft aanzienlijke datalekken heeft geleden. Hier zijn enkele van de hacks met de grootste impact.
Microsoft is sinds de oprichting ongetwijfeld een begrip geworden, maar de geschiedenis is niet brandschoon. Door de jaren heen heeft Microsoft te maken gehad met een lange lijst beveiligingsincidenten, waarvan er vele gebruikersgegevens in gevaar brachten. Wat zijn de grootste Microsoft-hacks van de 21e eeuw? En heeft deze technologiegigant betere beveiliging nodig?
1. De Exchange Server-inbreuk van 2021
Helemaal aan het begin van 2021, op 3 januari, raakten de Exchange-platformservers van Microsoft gecompromitteerd door vier zero-day softwarekwetsbaarheden.
Pas in maart van datzelfde jaar werd de omvang van de aanval duidelijk: ruim 30.000 in de VS gevestigde organisaties werden aangevallen via deze softwarefouten in de code van Microsoft Exchange. In totaal werden ruim 250.000 individuele Exchange-servers gehackt, waarvan 7.000 in het Verenigd Koninkrijk. Andere landen, waaronder Noorwegen en Chili, werden ook getroffen.
De gegevens die bij deze aanval werden gestolen, omvatten e-mailadressen en wachtwoorden van servergebruikers. Bovendien kunnen de aanvallers meer backdoors toevoegen voor toekomstige exploits.
Het duurde niet lang voordat Microsoft de benodigde patches uitbracht, maar deze aanval liet zien hoe gemakkelijk kwetsbaarheden tot enorme hackcampagnes kunnen leiden.
2. Het lekken van 250 miljoen klantgegevens
Begin 2020 werd ontdekt dat Microsoft per ongeluk meer dan 250 miljoen klantgegevens had gelekt. Deze enorme blootstelling kwam als gevolg van een database die niet met een wachtwoord was beveiligd.
Een groot deel van de blootgelegde gegevens bestond uit gesprekken tussen gebruikers en vertegenwoordigers van de klantenondersteuning, die plaatsvonden tussen 2005 en 2019. In bepaalde gevallen werd echter meer gevoelige informatie vrijgegeven, waaronder IP-adressen en e-mailadressen van klanten.
Het duurde slechts 24 uur voordat Microsoft de database had beveiligd, maar op dat moment was het al te laat.
3. Het lekken van Hotmail-referenties uit 2016
In mei 2016 begonnen talloze nieuwsmedia een enorme hack te melden die had geresulteerd in het lekken van gebruikersgegevens van Google, Yahoo en Microsoft. Meer dan 270 miljoen accountgegevens werden gestolen en te koop aangeboden op illegale Russische marktplaatsen. 33 miljoen hiervan waren Hotmail-inloggegevens, een e-mailservice die in 1997 door Microsoft werd gekocht.
Gelukkig verkocht de hacker die in eerste instantie de inloggegevens in zijn bezit had, deze aan een vermomd beveiligingsbedrijf, in plaats van dat een andere kwaadwillende persoon deze wilde misbruiken.
4. De Lapsu$-datalek van 2022
In maart 2022 bevestigde Microsoft dat het was aangevallen door een bekende hackergroep genaamd "Lapsu$". Dit internationale hacksyndicaat heeft naam gemaakt door zich te richten op vele grote namen, waaronder Nvidia en Samsung.
Terwijl Lapsu$ zich vroeger richtte op organisaties in Zuid-Amerika en Groot-Brittannië, hebben ze sindsdien hun zinnen gezet op extra slachtoffers, waaronder die in de VS. Deze brutale hackgroep richtte zijn focus begin 2022 op Microsoft.
In dit geval slaagde Lapsu$ (officieel bij Microsoft bekend als "DEV-0537") erin een enkel Microsoft-werknemersaccount te compromitteren en toegang te krijgen tot delen van de broncode van Bing, Bing Maps en Cortana.
De bevestiging van Microsoft kwam nadat Lapsu$ deze gestolen broncode in een torrent-bestand had gepubliceerd. Microsoft beweerde echter in a blogpost met betrekking tot het incident dat de diefstal en het lekken van de broncode geen veiligheidsrisico vormen voor het bedrijf of zijn gebruikers.
5. De Zero Day-schending van 2010
Eind 2009 werd Microsoft op de hoogte gebracht van een kritieke situatie zero-day-beveiligingsprobleem. Het bedrijf ondernam pas actie toen het jaar daarop bedrijven als Google en Adobe het doelwit werden van cybercriminelen via de kwetsbaarheid.
Door deze fout konden kwaadwillende actoren malware inzetten op de apparaten van de beoogde bedrijven. De kwaadaardige software zou vervolgens worden gebruikt om toegang te krijgen tot privégegevens van Google en Gmail.
Deze inbreuk zorgde ervoor dat Microsoft er bijzonder slecht uitzag vanwege de manier waarop het bedrijf omging met het uitbrengen van een oplossing. Pas in januari 2010, drie maanden nadat Microsoft over de kwetsbaarheid hoorde, bracht Microsoft een patch uit. Wat nog erger is, is dat Microsoft aanvankelijk van plan was de patch een maand later, in februari, uit te brengen.
6. De Storm0558-aanval van 2023
In 2023 werden ongeveer 25 organisaties, waaronder overheidsinstanties, aangevallen via twee Microsoft-beveiligingsproblemen. De kwaadwillende actor, gevestigd in China en bekend als Storm0558, slaagde erin gegevens te stelen van klanten die Outlook Web Access en Exchange Online gebruiken.
verklaarde Microsoft dat men geloofde dat de bedreigingsacteur spionagedoelen had. Het bedrijf bevestigde verder dat de aanvaller een MSA-ondertekeningssleutel voor consumenten had verkregen om de aanval uit te voeren.
Volgens een Wiz-onderzoek, waren het niet alleen Outlook Web Access en Exchange Online die door de hack werden getroffen. Wiz meldde dat andere Microsoft-services, waaronder Teams, OneDrive en SharePoint, ook kunnen worden misbruikt met behulp van de gecompromitteerde MSA-sleutel.
Heeft Microsoft betere beveiliging nodig?
Microsoft is zeker niet laks op het gebied van beveiliging. Het bedrijf zorgt ervoor dat zijn producten een solide niveau van gebruikersbescherming hebben, inclusief tweefactorauthenticatie, encryptie, antispamfilters, firewalls en inlogwaarschuwingen.
De aanwezigheid van deze functies hangt uiteraard af van welk Microsoft-product u gebruikt. Windows-besturingssystemen worden bijvoorbeeld geleverd met standaard antivirussoftware, maar Outlook niet.
Het merendeel van de hierboven genoemde aanvallen was het gevolg van een softwarekwetsbaarheid, dus het lijkt erop dat meer code-audits de oplossing voor Microsoft kunnen zijn. Het bedrijf ondergaat al audits, of het nu gaat om hun software of bedrijfspraktijken, maar het lijkt erop dat een groot aantal kwetsbaarheden nog steeds door de kieren glipt.
Ook het vrijgeven van beveiligingspatches zodra kwetsbaarheden worden geconstateerd kan verstandig zijn, zelfs als de kwetsbaarheid nog moet worden misbruikt. Dit elimineert de kans dat Microsoft of zijn gebruikers het slachtoffer worden van aanvallen veroorzaakt door software-exploits.
Deze praktijken zouden echter veel personeel en middelen vergen, aangezien Microsoft tegenwoordig bijna 400 softwareproducten op de markt heeft.
Microsoft zal nooit ongevoelig zijn voor hacks
Zelfs als Microsoft op de een of andere manier zijn beveiliging twee keer zou kunnen verhogen, zou het nog steeds niet 100 procent immuun zijn voor cyberaanvallen. Helaas is geen enkel softwareprogramma, apparaat of onderdeel volledig veilig tegen misbruik op de een of andere manier, hetzij door kwetsbaarheden, malware of andere middelen.
