Gehackt ondanks MFA? Dropbox Sign beveiligingsinbreuk.

Risico hacking en fraude. Een overzicht van de actuele risico’s op een datalek door hacking en fraude. Update mei 2024.

1/ Gehackt ondanks MFA.

Recent werden accounts van medewerkers van enkele lokale besturen gehackt alhoewel er MFA (multifactorauthenticatie) was geïnstalleerd.

Dit gebeurde initieel door een phishingmail die vroeg om op een link te klikken die naar een nepwebsite leidt. Hackers stelen daar inloggegevens en gebruiken deze op de echte website. Zelfs wanneer de echte site een extra authenticatiecode vraagt, voert het slachtoffer deze in op de nepwebsite. De echte website stuurt dan een authenticatie-cookie die toegang geeft tot het account ook naar de hackers zonder dat het slachtoffer dit merkt.

Gebruik zeker MFA, maar blijf waakzaam.

De VTC zal hierover binnenkort meer uitleg publiceren.

2/ Dropbox Sign.

In een mededeling heeft Dropbox bekendgemaakt dat hun elektronische handtekendienst, Dropbox Sign, is getroffen door een beveiligingsinbreuk. Bij deze inbreuk is accountinformatie van gebruikers gecompromitteerd. Dropbox heeft bevestigd dat onder andere e-mailadressen, handtekeninggegevens en andere persoonlijke informatie die op het platform waren opgeslagen, mogelijk toegankelijk zijn geweest voor onbevoegden.

Advies voor gebruikers van Dropbox Sign door Digitaal Vlaanderen

* Wachtwoord wijzigen: Het is essentieel dat gebruikers van Dropbox Sign hun wachtwoorden onmiddellijk wijzigen om verdere ongeautoriseerde toegang tot hun account te voorkomen.

* Unieke wachtwoorden gebruiken: Wij raden het gebruik van Dropbox Sign af, met name omwille van de kwetsbaarheid die voortvloeit uit het gebruik van wachtwoorden. Is er voor u geen alternatief, kies dan voor elk platform een uniek wachtwoord. Zo kunt u het risico en de impact van een hack beperken tot één service en blijven andere accounts veilig. In het geval dat u hetzelfde wachtwoord ook op een ander platform gebruikt dient u dit ook onmiddellijk te wijzigen.

Kies vanaf nu voor de geijkte systemen van de Vlaamse overheid met multifactorauthenticatie (MFA): Wij adviseren om niet te kiezen voor Dropbox Sign maar voor ‘Digitaal Ondertekenen’ om documenten te ondertekenen. Deze toepassing wordt beveiligd met de multifactorauthenticatie van Toegangsbeheer Vlaanderen (ACM-IDM). Indien u echt geen andere keuze hebt, activeer dan waar mogelijk steeds multifactorauthenticatie voor een extra laag van beveiliging.

-/-

Wees alert voor criminelen die zich voordoen als werknemers om bankrekeningnummers ongevraagd te wijzigen.

Er is een recente toename van frauduleuze activiteiten waarbij criminelen zich voordoen als uw werknemer en via e-mail het rekeningnummer wensen te wijzigen. Gelieve deze aanvragen met extra aandacht te bekijken zodat het zeker over een echte aanvraag gaat.

-/-

KLIK HIER naar het originele artikel op de website van de Vlaamse overheid.