Jak donosi portal Bleeping Computer, Microsoft podejmuje dodatkowe kroki, aby chronić użytkowników przed atakami hakerskimi. Firma wprowadza obowiązkowe dopasowywanie liczb w powiadomieniach uwierzytelniania wieloskładnikowego (MFA). Ataki z którymi walczy Microsoft to tzw. MFA fatigue attack nazywane również push bombing lub MFA push spam. Cyberprzestępcy zalewają ofiarę powiadomieniami typu push prosząc o wyrażanie zgody na zalogowanie się na konto firmowe.
W wielu przypadkach ofiary wyrażają zgodę na logowanie przez pomyłkę albo po prostu po to, aby zatrzymać nieustannie przychodzące powiadomienia. W ten sposób umożliwiają atakującym zalogowanie się na ich konta. Skuteczność tego typu działań udowodniły grupy Lapsus$ i Yanluowang atakując takie firmy jak Microsoft, Cisco czy Uber.
Aby zapobiec tego rodzaju atakom, Microsoft zdecydował się wprowadzić, od 8 maja 2023 roku, dodatkowe zabezpieczenie w postaci obowiązkowego dopasowywania numerów podczas uwierzytelnienia wieloskładnikowego (MFA). Aby wyrazić zgodę na zalogowanie, użytkownicy będą musieli wpisać w aplikacji ciąg cyfr, który zobaczą w powiadomieniu. W przypadku nieprawidłowego zestawu, aplikacja odmówi logowania.