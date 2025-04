De grootschalige e-maildiefstal bij de Amerikaanse bankentoezichthouder OCC was mogelijk doordat een admin-account niet met multifactorauthenticatie (MFA) was beveiligd, waardoor aanvallers via password spraying hier toegang toe konden krijgen, zo laten anonieme bronnen tegenover persbureau Bloomberg weten. Aanvallers wisten in mei 2023 toegang tot zo'n honderd e-mailaccounts van de Office of the Comptroller of the Currency (OCC) te krijgen.

De OCC is onderdeel van het Amerikaanse ministerie van Financiën en op banken en financiële instellingen in de VS. Op 26 februari meldde het OCC dat het eerder die maand een beveiligingsincident met een admin-account van het mailsysteem had ontdekt. Daarbij zouden verschillende e-mailaccounts zijn getroffen. Verdere details werden niet gegeven.

Eerder deze week kwam de toezichthouder met aanvullende informatie waarin het laat weten dat het om een 'groot' beveiligingsincident gaat. Volgens deze informatie ontdekte het OCC op 11 februari 'ongewone interacties' tussen een systeem admin-account in de automatiseringsomgeving en mailboxes van OCC-gebruikers. Verder onderzoek wees uit dat er meerdere admin-accounts waren gecompromitteerd, die op 12 februari werden uitgeschakeld.

Vervolgens werd er onderzoek naar de gecompromitteerde e-mailaccounts en berichten ingesteld. Daaruit blijkt dat de aanvallers toegang hebben gekregen tot e-mails van topmensen en andere medewerkers met 'zeer gevoelige informatie' over de financiële toestand van financiële instellingen waar het toezicht op houdt. Volgens Bloomberg hebben de aanvallers sinds mei 2023 tot begin dit jaar zo'n 150.000 e-mails ingezien.

De bronnen van Bloomberg stellen dat de aanvallers het wachtwoord van een admin-account door middel van password spraying wist te raden. Voor dit account was geen MFA ingeschakeld. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Het account zou een overblijfsel zijn geweest van toen de toezichthouder de eigen e-mailomgeving naar de cloud van Microsoft migreerde.