Hotmail- en Outlookadressen maandenlang gehackt achter de rug van Microsoft

Sommige Hotmail- en Outlookgebruikers hebben een bericht ontvangen van Microsoft dat hackers hun e-mails hebben begluurd. Ze konden niet de inhoud bekijken van de mails, maar wel de onderwerpen en geadresseerden. Een gehackte account van een ondersteuningspartner is de boosdoener.

Microsoft bevestigt aan TechCrunch dat een aantal accounts van de e-maildiensten van Microsoft (@hotmail.com, @outlook.com, @msn.com en potentieel ook .be-varianten) werden gehackt. Het probleem kwam aan het licht toen een gebruiker de mail van Microsoft met verontschuldigingen publiek maakte.

Volgens de mail konden malafide hackers toegang krijgen tot e-mailadressen van gebruikers, hun mappen, onderwerpregels en e-mailadressen van ontvangers. De inhoud van e-mails en potentiële bijlagen waren niet zichtbaar. De hackers hebben geen logingegevens en wachtwoorden buitgemaakt.

Geen login- en wachtwoordgegevens

Ondanks dat er geen login- en wachtwoordgegevens werden gestolen, raadt Microsoft in hun communicatie toch aan om een nieuw wachtwoord te kiezen. De inbreuk gebeurde over een periode van 1 januari tot 28 maart.

De hackers geraakten in het systeem door gegevens buit te maken van een ondersteuningsdienst. Eens de inbreuk bekend was bij Microsoft, hebben ze onmiddellijk de geaffecteerde accounts gesloten. De softwaregigant was al die tijd niet op de hoogte van de hack. Het waarschuwt wel de gebruikers om hun inbox meer in het oog te houden de komende weken voor spam- en phishingmails.

Voorlopig blijven er heel wat vraagtekens bestaan rond de schaal van de hack. Microsoft heeft geen verdere details vrijgegeven over waar het gros van de aanvallen heeft plaatsgevonden. Er zitten wel Europese accounts tussen, wat betekent dat Microsoft aan de GDPR-normen moet voldoen. Mogelijk volgt daar binnenkort wel meer informatie uit.

Microsoft vertelt verder ook niet hoe hackers toegang hebben gekregen tot een account van een ondersteuningsdienst en welke actie ze hebben ondernomen om dit in de toekomst te voorkomen. Hopelijk krijgen we de komende dagen meer duidelijkheid over de zaak. Zoja, dan updaten we dit stuk.

Inhoud e-mail

Dit is de volledige e-mail die geaffecteerde gebruikers hebben ontvangen:

 

Dear Customer

Microsoft is committed to providing our customers with transparency. As part of maintaining this trust and commitment to you, we are informing you of a recent event that affected your Microsoft-managed email account.

We have identified that a Microsoft support agent’s credentials were compromised, enabling individuals outside Microsoft to access information within your Microsoft email account. This unauthorized access could have allowed unauthorized parties to access and/or view information related to your email account (such as your e-mail address, folder names, the subject lines of e-mails, and the names of other e-mail addresses you communicate with), but not the content of any e-mails or attachments, between January 1st 2019 and March 28th 2019.

Upon awareness of this issue, Microsoft immediately disabled the compromised credentials, prohibiting their use for any further unauthorized access. Our data indicates that account-related information (but not the content of any e-mails) could have been viewed, but Microsoft has no indication why that information was viewed or how it may have been used. As a result, you may receive phishing emails or other spam mails. You should be careful when receiving any e-mails from any misleading domain name, any e-mail that requests personal information or payment, or any unsolicited request from an untrusted source (you can read more about phishing attacks at https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/phishing).

It is important to note that your email login credentials were not directly impacted by this incident. However, out of caution, you should reset your password for your account.

If you require further assistance, or have any additional questions or concerns, please feel free to reach out to our Incident Response Team at ipg-ir@microsoft.com. If you are a citizen of European Union, you may also contact Microsoft’s Data Protection Officer at:

EU Data Protection Officer
Microsoft Ireland Operations Ltd
One Microsoft Place,
South County Business Park,
Leopardstown, Dublin 18, Ireland
dpoffice@microsoft.com

Microsoft regrets any inconvenience caused by this issue. Please be assured that Microsoft takes data protection very seriously and has engaged its internal security and privacy teams in the investigation and resolution of the issue, as well as additional hardening of systems and processes to prevent such recurrence.

 

Gerelateerd: 400 miljoen Office 365-accounts waren kwetsbaar voor hack