Nederlandse Dirk-jan ontdekt beveiligingsprobleem Microsoft

"Ik stond naar mijn scherm te staren, en ik dacht alleen maar: dit kan toch niet? Het kan niet dat dit werkt…"

Het is eerst vooral ongeloof als Dirk-jan Mollema doorheeft hoe ernstig de fout is die hij net heeft ontdekt. En dan dringt de ernst door. "Ik wil dit soort dingen helemaal niet kunnen, ik wil die verantwoordelijkheid niet."

De fout die Mollema ontdekte, zit in de Microsoft-dienst Entra ID. Dat is een zogeheten authenticatiedienst, die gebruikt wordt om in te loggen op andere Microsoftproducten, waaronder clouddienst Azure en het officepakket Microsoft 365.

Mollema vond een nieuwe manier om in te loggen en namens andere gebruikers handelingen uit te voeren. "Dat was eigenlijk bedoeld voor Microsoft zelf, voor intern gebruik. Maar ik kon het ook gebruiken."

En die inlogmethode bevatte een cruciale fout: hij controleerde niet of je wel écht toegang zou moeten krijgen tot het systeem. Zo zou een hacker binnen kunnen komen in de Microsoftsystemen van ieder bedrijf.

"Je kunt dan bijvoorbeeld zien wie daar allemaal werken en wat hun gegevens zijn", zegt Mollema. "En dat alles zonder sporen achter te laten."

Erger nog: een hacker zou zichzelf beheerder kunnen maken, en alle mogelijke aanpassingen kunnen doen. "Dan zien de andere beheerders wel dat er een nieuwe gebruiker is, dat gaat dus niet stiekem", zegt Mollema. Maar zo kan een hacker wel álle mail en álle bestanden van een bedrijf in handen krijgen. "Dus ook allerlei persoonsgegevens."

In onderstaande video legt techverslaggever Wouter van Dijke uit wat de gevolgen zijn van de fout bij Microsoft:

Toen Mollema de fout ontdekte, meldde hij die direct bij Microsoft. "Dit is denk ik het snelste rapport dat ik ooit geschreven heb. Ik wist gelijk: dit moet zo snel mogelijk opgelost worden. Dus binnen twee uur heb ik het gemeld."

En ook Microsoft nam het rapport erg serieus. "Ze hebben het probleem in recordtempo gefikst. Uiteindelijk hebben ze binnen drie dagen wereldwijd een oplossing uitgerold. Dat is voor zo'n groot bedrijf als Microsoft echt wel heel snel."

Hoe ernstig de situatie was, blijkt ook uit de waarschuwing die Microsoft de deur uit deed. De ernst van de fout wordt daarin beoordeeld met een 10, de maximale score.

Wie een veiligheidsprobleem ontdekt en meldt bij Microsoft, kan een beloning verwachten. Die zogeheten bug bounties lopen op tot zeker 100.000 dollar (85.000 euro). Hoeveel Mollema van Microsoft kreeg, wil hij niet zeggen. "Maar ze hebben er zeker een bug bounty voor gegeven."

Dankzij de melding van Mollema kon Microsoft het gat dus snel dichten. Het lijkt er niet op dat anderen hetzelfde probleem ook ontdekt of zelfs misbruikt hebben. Mollema: "Daar heeft Microsoft onderzoek naar gedaan, en die zeggen dat ze geen misbruik hebben gezien. Ik ga er dan vanuit dat dat klopt. Maar helemaal zeker kun je het nooit weten."

Bedrijven die Microsoft-diensten gebruiken, hoeven zich nu geen zorgen te maken, zegt Mollema. "Dit probleem zat echt bij Microsoft. Als bedrijf had je er ook niks tegen kunnen doen. In principe is er geen actie nodig voor bedrijven, omdat Microsoft dit aan hun kant heeft gefixt."

De impact van een hack kan groot zijn. Sandra's gegevens werden gelekt vanuit een medisch laboratorium, vertelt ze in deze video: