Als we één ding onthouden uit de hack bij Uber, en recenter die bij Rockstar Games waar dezelfde techniek werd gebruikt, dan dat multi-factorauthenticatie (mfa) geen wondermiddel is.
‘Hoezo geen multi-factorauthenticatie?’ Het was een post van een bevriende securityexpert meteen na de redelijk ingrijpende hack een week geleden bij Uber. De hacker drong op grote schaal binnen in de interne systemen van taxidienst. Nadien werd een 17-jarige gearresteerd die ervoor verantwoordelijk zou zijn geweest.
Bij elke hack hebben we de neiging om te denken dat er geen multi-factorauthenticatie is gebruikt. Dat kan dan bijvoorbeeld via een authenticator-app op je smartphone of via een code via sms.
Vives
Een terechte opmerking, want bij heel veel hacks hebben we gezien dat er geen mfa in het spel was. Bij een ingrijpende hack enkele maanden geleden bij Vives gaf het schoolhoofd, tot verbazing van heel wat securityexperts, te kennen dat het nog geen tweefactor- of multi-factorauthenticatie gebruikte binnen zijn organisatie en dat dat bij hogescholen ook helemaal niet gebruikelijk was.
Maar Uber gebruikt(e) wél mfa. Net als bij veel andere hacks begon het grote beveiligingslek bij Uber met een sms. The New York Times verwees naar details van de vermeende hacker en meldde dat een nep-sms-bericht een Uber-werknemer ertoe aanzette zijn wachtwoordgegevens bekend te maken, waardoor een reeks handelingen in gang werd gezet die leidde tot een grootschalige aantasting van de it-systemen van het bedrijf.
Zelfs voor een bedrijf met de middelen van Uber zijn dit soort social engineering-bedreigingen haast onmogelijk volledig te bestrijden. Het maakt niet uit hoe goed het wachtwoordbeleid van een bedrijf is. Het maakt niet uit of gevoelige informatie goed is opgeslagen of versleuteld, en zelfs of er mfa wordt gebruikt. Er is altijd een kans dat een menselijke medewerker de aanvaller door de voordeur binnenlaat. Een recente hack bij Rockstar Games gaf dat eens te meer aan.
Blindheid
Er is vandaag een soort van blindheid met mfa als heilige graal. Maar ook een fenomeen wat de beveiligingssector omschrijft als ‘mfa fatigue’. Werknemers die die extra laag security maar niks vinden. Of simpelweg nonchalant en veronachtzaam zijn. Typ ‘mfa fatigue’ of ‘mfa fatigue attack’ in op Google en je krijgt meer dan honderdduizend resultaten.
En bovendien zijn hackers meer en meer dol op mfa, las ik in een rapport van Auth0/Octa. Vanwege de bewezen verdiensten ervan bevelen meer aanbieders van toepassingen en diensten mfa terecht aan of verplichten ze het. Waardoor hackers volgen. In de eerste helft van 2022 was het aantal aanvallen op mfa-diensten groter dan ooit.
Nee, een zogenaamde silver bullet is mfa niet. En de mens blijft altijd de zwakste schakel. Dat pleit voor initiatieven als zero-trustsecurity, hoor ik vaak. Dat zal zeker zo zijn. Al lijkt me tegelijk nog meer bewustwording in security ook best wel aan de orde.
Om het in voetbaltermen te stellen: in security kan je nooit echt winnen, zeker niet op lange termijn. Je kan vooral de nederlaag (en schade) zoveel mogelijk beperken. En als je het goed en slim aanpakt, kan je misschien een gelijkspel uit de brand slepen.