Blogger europa.eu kihasználást talált
Himanshu Anad kompromittáltnak vélte egy europa.eu-hez – az Európai Unió hivatalos portáljához – tartozó fiókot, amikor rendszeresen figyelte a neki küldött értesítéseket és e-maileket, egy furcsa mozzanatra lett figyelmes, olyan e-mail-visszaigazolást kapott, amely egy krikett-témájú hírlevél feliratkozásáról szólt, pedig sosem iratkozott fel ilyenre. Ez az apró eltérés rögtön gyanút keltett benne, mivel tudta, hogy sem krikett iránti érdeklődése, sem korábbi kapcsolata nem volt ilyen szolgáltatással. Arra a következtetésre jutott, hogy valaki — valószínűleg automatizált bot — külső doménen keresztül regisztrál ilyen feliratkozásokat az ő nevében, ami arra utal, hogy az europa[.]eu-fiókja nincs biztonságban.
Ezt követően elkezdte vizsgálni a fiókjához köthető bejelentkezéseket és jogosultságokat, és felfedezett egy sor szokatlan, számára ismeretlen eszközt illetve hozzáférést — olyan IP-címeket, amelyek nem stimmeltek hozzá, valamint időzónában is eltértek az általa rendszeresen használtaktól. Ez megerősítette az érzését, hogy a fiók kompromittálódott. A blogíró létrehozott egy audit-és naplóellenőrzési folyamatot, leváltotta a jelszavát, aktiválta a kétfaktoros hitelesítést, illetve végül értesítette az európai portál adminisztrátorait — akik elindították a belső vizsgálatot.
Az eset tanúsága az, hogy nem feltétlenül egy látványos, zajos támadás — exploit, zsarolóprogram vagy multi-fázisos spear-phishing — miatt derül fény egy kompromittálódásra, hanem egy apró, banális esemény, egy nemkívánatos hírlevél-feliratkozás is intő jel lehet. A blogposzt szerzője szerint az ilyen apró, elsőre jelentéktelen eltérések gyakran a legfontosabb jelek — ha figyelnek rájuk, időben lehet reagálni.