Mailchimp ondermijnt bewust de werking van MFA

Security

Mailchimp begrijpt dat de dienst extreem vatbaar is voor misbruik en biedt daarom een MFA optie. Er is amper een slechter voorbeeld te vinden van een MFA implementatie. Daarbij is duidelijk dat het geen foutje is maar een bewuste keuze.

Doel van MFA

De bedoeling van MFA is dat het aanzienlijk lastiger is voor aanvallers om bij data te komen of om van een infrastructuur gebruik te maken. Mailchimp, een veel gebruikt platform voor verzenden van nieuwsbrieven, heeft daarom ook een MFA optie. Het lijkt dus dat het bedrijf begrijpt dat een extra horde beter is voor de klanten en de eigen business.

Over die MFA optie is echter wel het nodige te zeggen. Allereerst vervangt deze een extra inlogbeveiliging die recent zonder communicatie is uitgefaseerd. Voorheen was het mogelijk een code toegezonden te krijgen per e-mail. Die kon na de invoer van username en wachtwoord worden aangevraagd en ingevoerd.

Natuurlijk is dat geen veilige optie. Als een aanvaller een machine onder zijn controle heeft of het e-mailaccount is de meerwaarde van een code mail gelijk nul. En dat een aanvaller een dergelijke toegang heeft is al voorwaarde om die aanvraag te kunnen starten.

Dus wat dat betreft is het goed dat deze optie is verdwenen. Vreemd is wel dat daar niet over is gecommuniceerd. De optie was opeens weg en iedereen kon zonder additionele inlog aan de slag. Een fatsoenlijk bedrijf zou de klanten deze stap uitleggen en daarbij direct wijzen op het nut van MFA, Mailchimp doet dat niet.

Geen vergissing maar opzet

De MFA optie moet zelf worden gevonden en geactiveerd. Dat proces verloopt verder zonder problemem. Maar daarna komt een verschrikkelijke tekortkoming aan het licht. Mailchimp biedt de optie de MFA controle op een computer voor 2 weken te laten gelden. Die optie staat standaard aangevinkt.

Dit is geen vergissing, maar opzet. Mailchimp is duidelijk van mening dat een deel van de klanten minder van de dienst gebruik zal maken als die echt veilig is. Welke klantgroepen dat zijn en wat daarvan het belang is op de omzet van het bedrijf is niet duidelijk.

Mailchimp is recent overgenomen door een ander Amerikaanse bedrijf. Dat kan er iets mee te maken hebben. Hoe dan ook is het bewust ondermijnen van het MFA principe een reden Mailchimp op een watchlist te zetten. Dat geldt voor ontvangers en natuurlijk voor gebruikers. Gelukkig zijn er concurrenten met goede alternatieven

Related posts ...