Miljontals kontouppgifter stjäls varje månad! De flesta kontouppgifter kommer från alla webbtjänster runt om på Internet som har någon form av inloggning. En vanlig användare som behöver skapa ett konto på en web shop eller annan typ av webbplats har ingen aning om hur dessa uppgifter hanteras och det är vanligare än man tror att företagets e-postadresser och till och med lösenord återanvänds på dessa webbplatser. Det finns en stor marknad där ute som helt enkelt säljer kontouppgifter och e-postadresser och ju fler användare en webbtjänst har desto mer utsatt är den för attacker.

Det krävs inte heller någon större kompetens för att leta runt på Internt efter ett stulet konto från någon hackad webbplats.

Har man väl kommit över inloggningsuppgifter är nästa steg att helt enkelt testa en inloggning mot någon publicerad tjänst från motsvarande domän (UPN)

Hur skyddar verksamheten sig mot detta växande hot?
ITSäkerhetsGuiden har tidigare skrivit om hur Azure Application Proxy kan publicera tjänster för att öka säkerheten med förstärkt och ökad inloggning av Azure Active Directory

Här nämndes bland annat de rapporter som finns i Azure Active Directory och som hela tiden kompletteras.

Tack vare Microsofts arbete och kapacitet runt Big Data har de möjlighet att identifiera stulna kontodatabaser ute på Internet. Det finns stor chans att de identifierar om det förekommer ett stulet konto som överensstämmer mot ett konto i Azure Active Directory. Vilket då skickar ett larm och skapar en rapport om detta för alla kunder med ett Azure Active Directory Premium Konton.

Om Users with leaked credentials visar på ett användarkonto rekommenderas att resetta användarens lösenord och aktivera flerfaktorautentisering i den mån det går för denna användare.

Om Users with threatened credentials visar på någon användare rekommenderar jag ovanstående samt att även informera Microsoft om detta alternativt ta kontakt med mig eller någon av mina kollegor på Onevinn för att utreda anledningen till detta.