SMS voor MFA is niet veilig

Op het Engelstalige blog van Varonis staat uitgelegd hoe de optie SMS te gebruiken als MFA bij BOX kon worden misbruikt. Het lek is inmiddels gedicht, maar daarmee is het bredere probleem niet opgelost. SMS is niet geschikt voor MFA.

Varonis

simkaart sim smsVaronis is een security bedrijf dat in Nederland niet zo bekend is. Het bediend in ieder geval een hand vol multinationals. Zoals gebruikelijk speuren de medewerkers constant naar lekken bij de klanten en elders.

BOX

Zo is men vorig jaar ook het aanbod van BOX beter gaan bekijken. Dat is een Amerikaans bedrijf dat ooit begon als platform om bestanden te delen. Inmiddels is het aanbod verschoven naar collaboration. Dat is nog steeds data delen, maar dan wel met veel meer features. BOX is ook in Nederland actief, verreweg de meeste omzet wordt echter in Amerika behaald. Om de data te beveiligen en te voorkomen dat vreemden aan documenten gaan sleutelen stelt BOX meerdere opties voor. Een daarvan is MFA via SMS. Iedereen die gebruik maakt van O365 kan die optie bekend voorkomen. Dat de voorkant bekend voorkomt zegt niets over de werking aan de achterzijde. Daar heeft BOX een steek laten vallen. Varonis heeft vastgesteld dat iemand met echt slechte bedoeling makkelijk een aanval kon starten. De SMS speelde daarbij een centrale rol. De MFA kon naar een te manipuleren mobiel nummer worden gestuurd.

Amerika

De uitleg in de video is helder. Maar wat is precies het grote probleem? Het antwoord heeft te maken met een speciale klantgroep op de grootste markt voor BOX. BOX is een van de leveranciers van services aan de federale Amerikaanse overheid. Ambtenaren voor die diensten moeten allemaal gebruik maken van MFA. De invoering daarvan loopt onder grote tijdsdruk. Budget voor Ubikeys of andere hardware matige oplossingen is er onvoldoende. Dus daarom wordt massaal de smartphone en dus de SMS optie gekozen. Als er ergens ter wereld een groot probleem is met SIM swapping en ander vormen van nummer diefstal dan is het wel in Amerika. Het verschijnsel komt overigens steeds vaker in Nederland voor. Ook daarom is de optie MFA via SMS niet aan te raden. Er zijn genoeg veiligere alternatieven om in te loggen.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein