Een Oostkamps bedrijf dat gespecialiseerd is in IT-beveiliging heeft een gevaarlijk lek ontdekt in software van technologiereus Microsoft. Opvallend: het lek zat uitgerekend in een programma dat Microsoft opzette om werknemers van bedrijven te trainen om phishing-mails te herkennen.

Alles draait om de Attack Simulator van Microsoft. Met dat programma kunnen bedrijven op een automatische manier tests uitvoeren om te zien of hun werknemers alert zijn voor phishing. Concreet gaat het om een 280-tal kant-en-klare e-mails die uitgestuurd kunnen worden, met in de mails de uitnodiging om een bepaalde bijlage te openen of een link aan te klikken. Wanneer werknemers niet alert genoeg zijn, en dus een link aanklikken of bijlage openen, krijgen ze een e-mail om hen erop te wijzen dat ze zich hebben laten vangen.

Bij EyeSecurity, een bedrijf uit Oostkamp dat ook dergelijke trainingen aanbiedt, besloten ze begin dit jaar om de software van Microsoft even te testen. ‘Chief hacker’ Vaisha Bernard zond één van de 280 mailtjes naar zichzelf en achterhaalde dat de website waarnaar in de e-mail een link stond niet geregistreerd was. Toen hij zelf de website registreerde, kreeg hij plots heel wat mailtjes.

Vindersloon

Die e-mails waren afkomstig van andere mensen die hetzelfde geautomatiseerde bericht hadden gekregen en die zich afvroegen welke link precies naar hen gemaild was of welke bijlage ze geacht werden te openen. “Ik heb Microsoft meteen op de hoogte gebracht van het veiligheidsrisico. Je kan je wel voorstellen wat een criminele hacker zou doen met de e-mailadressen van al die mensen die blijkbaar bereid waren om op gelijk welke link te klikken of bijlage te openen”, zegt Vaisha Bernard.

Microsoft keerde Bernard een ‘vindersloon’ uit en beloofde het probleem aan te pakken. In eerste instantie haalden ze het ene bewuste mailtje uit de reeks van 280, maar er bleken in de overige 279 standaardmails nog gelijkaardige lekken te zitten. Uiteindelijk duurde het bijna een jaar vooraleer Microsoft erin slaagde om hun Attack Simulator compleet veilig te maken. Volgens Microsoft is er op geen enkel moment gevaar geweest. “Maar mocht een criminele hacker dit ontdekt hebben, dan was Microsofts Attack Simulator ironisch genoeg veranderd in een perfect phishing-platform”, besluit Vaisha Bernard.