דיגיטל וטק

מיקרוסופט באזהרה חמורה למאות מיליוני משתמשים

האקרים מצאו שיטה חדשה לפרוץ למשתמשים בשירות המייל השני בגודלו בעולם אחרי ג'ימייל. איך ההאקרים עושים את זה וממה צריך להיזהר?
יאיר מור |  4
האקר אילוסטרציה (צילום pixabay)
משתמשי תיבות מייל של Outlook של מיקרוסופט – היזהרו: בימים האחרונים הודיעה החברה כי גילתה תרמית חדשה של האקרים, שמנצלים את השימוש שלה בסטנדרט אימות זהות פתוח כדי לפתות משתמשים לתת להם גישה מלאה לכל המידע שלהם בשירות.
לפי הגולש שדיווח על האפליקציה בשבוע שעבר, משתמשי שירות Office 365 של מיקרוסופט, שכולל תיבות מייל של החברה (גם פרטיות, כיורש של "הוטמייל" ז"ל, וגם ארגוניות), קיבלו הודעות לתיבות האימייל, לפיהן עמיתים לעבודה צירפו עבורם קובץ. הקישור לאותו קובץ הפנה את המשתמשים לאפליקציה בשם "Upgrade" ("שדרוג"), שביקשה מהם הרשאות גישה מלאות לתיבת המייל שלהם.

לדברי החברה, ההאקרים ניצלו את השימו שלה בסטנדרט אימות הזהות OAuth, שנתמך גם על ידי גוגל, פייסבוק ועוד. השירות מאפשר לכל אפליקציה שמסתמכת עליו להציג למשתמש הודעת בקשת הרשאה למידע שלו בכל שירות שתומך בו, ללא כל צורך לבצע פריצה רגילה כדי להשיג את הגישה הזו. מיקרוסופט ציינה כי הגישה שהושגה בדרך זו היתה מלאה: ההאקרים יכלו לקרוא את כל המיילים, האירועים ואנשי הקשר בתיבה, ביומן ובפנקס של המשתמשים, ואף לכתוב בשמם מיילים, אירועים וכללים אוטומטיים להעברה של מיילים.
"מיקרוסופט השביתה את האפליקציה ב(שירות הענן) Azure AD והודיעה ללקוחות שנפגעו", כתבה החברה, וציינה כי מאות ארגונים נפגעו מהתרמית, שהתמקדה בעיקר בלקוחות עסקיים, בשל הגישה שניתן להשיג באמצעותם למידע של חברות שמסוגלות לשלם סכומים לא מבוטלים למי שמחזיק בו.
בשנה שעברה כבר הזהירה מיקרוסופט ממתקפות מסוג זה, שעלולות לתת לתוקפים גישה למידע של המשתמשים, אך גם הבהירה כי שיטת הגישה הזו אינה פורצת את הסיסמה, כך שכל מה שצריך לעשות כדי למנוע מההאקרים גישה עתידית למידע היא לבטל את ההרשאה שלהם. כמובן שמלכתחילה יש לחשוב פעמיים לפני אישור הרשאות גישה למידע האישי או הארגוני לאפליקציות לא מוכרות.
תגובות לכתבה(4):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
  • 3.
    אל תהיו מטומטמים
    אל תהיו מטומטמים 01/2022/26
    הגב לתגובה זו
    0 0
    מחר: גוגל באזהרה למשתמשים. אל תתנו את שם המשתמש והסיסמא שלכם.
    סגור
  • 2.
    מי יודע איזה הרשאות הוא נתן
    משה 01/2022/26
    הגב לתגובה זו
    0 0
    לתת הרשאות או לראות אילו הרשאות יש. הם פעולות לא אפשריות. נראה אותכם מוצאים את ההרשאות שנתתם.
    סגור
  • 1.
    לא הבנתי למה כתוב הוטמייל ז"ל
    גיל 01/2022/25
    הגב לתגובה זו
    0 0
    האם יש תכנון לבטל אותו?
    סגור
  • אני עם @hotmail.co.il
    דודו 01/2022/26
    הגב לתגובה זו
    0 0
    בינתיים זה עובד. על כל מקרה תגבה את התיבה כי יום אחד זה יפסיק לעבוד ברור לי
    סגור