Eye Security, een Nederlands bedrijf, heeft een wereldwijd beveiligingslek ontdekt in de software van Microsoft, zo meldt BNR. De betreffende software, bedoeld om bedrijven te beschermen tegen phishing, heeft gedurende een jaar precies het tegenovergestelde gedaan: het bood kwaadwillenden toegang tot de mailboxen van het personeel.

Vaisha Bernard, de ‘chief hacker’ bij Eye Security, onderwierp de software begin dit jaar aan een test. Hij kwam al snel tot de ontdekking dat gebruikers door de beveiligingstool ‘Attack Simulator’ van Microsoft werden misleid. De tool bleek niet alleen in staat om alle bestaande beveiligingsmaatregelen binnen de Microsoft-omgeving te omzeilen, maar selecteerde ook gebruikers die al bereid waren om bestanden te downloaden van onbekende afzenders. Bernard rapporteerde het lek aan Microsoft en ontving binnen enkele dagen een beloning van 3000 dollar als ‘vindersloon’. Volgens hem werd het probleem echter pas eind november verholpen, terwijl hij de melding al eerder in het jaar had gedaan. Attack Simulator is onderdeel van het Office 365, de cloudoplossing van Microsoft voor kantoorapplicaties. Het helpt beheerders bij het opstellen en verzenden van phishing e-mails om de alertheid van gebruikers te testen.