Duizenden Outlook-wachtwoorden gestolen via vergeten add-in

Via een gekaapte add-in voor Microsoft Outlook zijn de wachtwoorden van duizenden gebruikers buitgemaakt. Het gaat om AgreeTo, een extensie waarmee werk- en privéagenda’s konden worden samengevoegd.

De ontwikkelaar stopte al in 2023 met het project, maar vergat de add-in uit de Marketplace te verwijderen. Nog problematischer: de bijhorende domeinnaam verliep.

Wat ging er mis?

Outlook-add-ins laden inhoud van het domein waaraan ze gekoppeld zijn. Toen de domeinnaam vrijkwam, namen cybercriminelen die over.

Via de bestaande add-in toonden ze vervolgens een vals Microsoft-inlogscherm. Gebruikers die daar hun gegevens invulden, gaven hun wachtwoord rechtstreeks door aan de aanvallers.

Beveiligingsbedrijf Koi Security ontdekte de aanval en stelde vast dat meer dan 4.000 accounts getroffen zijn. De gestolen gegevens werden zelfs doorgestuurd naar een slecht beveiligde server. Of de wachtwoorden al effectief misbruikt zijn, is niet bekend. Microsoft heeft de add-in inmiddels verwijderd.

Groter probleem

Het incident legt een zwakke plek bloot: add-ins worden gecontroleerd wanneer ze in de Marketplace verschijnen, maar daarna niet systematisch opnieuw gescand.

Als een ontwikkelaar stopt en een domeinnaam verloopt, kan dat dus ernstige risico’s opleveren.

Les voor gebruikers

• Gebruik alleen add-ins van betrouwbare, actieve ontwikkelaars

• Controleer regelmatig of een extensie nog onderhouden wordt

• Verwijder ongebruikte add-ins

Eén verlopen domeinnaam bleek hier genoeg om duizenden accounts in gevaar te brengen.