Inactief account zonder MFA gaf aanvallers toegang tot Colonial Pipeline

Bij de cyberaanval op het Amerikaanse Colonial Pipeline zijn aanvallers het netwerk van het bedrijf binnengedrongen via een inactief account. Dit account was niet met multifactorauthentificatie (MFA) beveiligd.

Dit zegt Charles Carmakal, SVP en CTO van FireEye's Mandiant divisie tegen Bloomberg. Het gaat om een inactief account dat toegang gaf tot een Virtual Private Network (VPN) van het bedrijf. Het wachtwoord van dit account is getraceerd naar een dataset met gelekte wachtwoorden die rondgaat op het dark web, meldt Carmakal.

Opvallend is dat het account niet is beveiligd met MFA. Dit betekent in de praktijk dat standaard inloggegevens voldoende zijn om toegang te krijgen tot het account. Het is onduidelijk hoe de aanvallers de gebruikersnaam dat bij het uitgelekte wachtwoord hebben gevonden. Het gecompromitteerde PVN-account is inmiddels geblokkeerd.

Meer informatie is hier beschikbaar.