Visterin Fileert: Lessen uit de Uber-hack

Als we één ding onthouden uit de hack bij Uber, en recenter die bij Rockstar Games waar dezelfde techniek werd gebruikt, dan dat multi-factorauthenticatie (mfa) geen wondermiddel is.

‘Hoezo geen multi-factorauthenticatie?’ Het was een post van een bevriende securityexpert meteen na de redelijk ingrijpende hack een week geleden bij Uber. De hacker drong op grote schaal binnen in de interne systemen van taxidienst. Nadien werd een 17-jarige gearresteerd die ervoor verantwoordelijk zou zijn geweest.

Bij elke hack hebben we de neiging om te denken dat er geen multi-factorauthenticatie is gebruikt. Dat kan dan bijvoorbeeld via een authenticator-app op je smartphone of via een code via sms.

Vives

"Maar Uber gebruikt(e) wél mfa"

Een terechte opmerking, want bij heel veel hacks hebben we gezien dat er geen mfa in het spel was. Bij een ingrijpende hack enkele maanden geleden bij Vives gaf het schoolhoofd, tot verbazing van heel wat securityexperts, te kennen dat het nog geen tweefactor- of multi-factorauthenticatie gebruikte binnen zijn organisatie en dat dat bij hogescholen ook helemaal niet gebruikelijk was.

Maar Uber gebruikt(e) wél mfaNet als bij veel andere hacks begon het grote beveiligingslek bij Uber met een sms. The New York Times verwees naar details van de vermeende hacker en meldde dat een nep-sms-bericht een Uber-werknemer ertoe aanzette zijn wachtwoordgegevens bekend te maken, waardoor een reeks handelingen in gang werd gezet die leidde tot een grootschalige aantasting van de it-systemen van het bedrijf.

Zelfs voor een bedrijf met de middelen van Uber zijn dit soort social engineering-bedreigingen haast onmogelijk volledig te bestrijden. Het maakt niet uit hoe goed het wachtwoordbeleid van een bedrijf is. Het maakt niet uit of gevoelige informatie goed is opgeslagen of versleuteld, en zelfs of er mfa wordt gebruikt. Er is altijd een kans dat een menselijke medewerker de aanvaller door de voordeur binnenlaat. Een recente hack bij Rockstar Games gaf dat eens te meer aan.

Blindheid

Er is vandaag een soort van blindheid met mfa als heilige graal. Maar ook een fenomeen wat de beveiligingssector omschrijft als 'mfa fatigue'. Werknemers die die extra laag security maar niks vinden. Of simpelweg nonchalant en veronachtzaam zijn. Typ ‘mfa fatigue’ of ‘mfa fatigue attack’ in op Google en je krijgt meer dan honderdduizend resultaten.

En bovendien zijn hackers meer en meer dol op mfa, las ik in een rapport van Auth0/Octa. Vanwege de bewezen verdiensten ervan bevelen meer aanbieders van toepassingen en diensten mfa terecht aan of verplichten ze het. Waardoor hackers volgen. In de eerste helft van 2022 was het aantal aanvallen op mfa-diensten groter dan ooit.

Nee, een zogenaamde silver bullet is mfa niet. En de mens blijft altijd de zwakste schakel. Dat pleit voor initiatieven als zero-trustsecurity, hoor ik vaak. Dat zal zeker zo zijn. Al lijkt me tegelijk nog meer bewustwording in security ook best wel aan de orde.

Om het in voetbaltermen te stellen: in security kan je nooit echt winnen, zeker niet op lange termijn. Je kan vooral de nederlaag (en schade) zoveel mogelijk beperken. En als je het goed en slim aanpakt, kan je misschien een gelijkspel uit de brand slepen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-09-29T09:54:00.000Z William Visterin


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.