nyhet
Allvarlig säkerhetsbrist i Microsoft Copilot möjliggjorde stöld av 2FA-koder
En kritisk sårbarhet i Microsoft Copilot har gjort det möjligt för angripare att stjäla tvåfaktorsautentiseringskoder direkt från drabbade användare. Säkerhetsbristen väcker allvarliga frågor om hur AI-assistenter hanterar känslig information i professionella miljöer.
Vad har hänt
Säkerhetsforskare har identifierat och avslöjat en kritisk sårbarhet i Microsoft Copilot som aktivt utnyttjades för att kapa engångskoder avsedda för tvåfaktorsautentisering (2FA). Sårbarheten ska ha gjort det möjligt för en angripare att via Copilot få tillgång till tidskänsliga 2FA-koder som användare mottog i sina inkorgars e-postmeddelanden eller i anslutna kommunikationsverktyg.
Microsoft bekräftade bristen och publicerade en säkerhetspatch efter att sårbarheten rapporterades. Enligt rapporter från Ars Technica utnyttjades svagheten genom att manipulera Copilots förmåga att läsa och sammanfatta innehåll i användarens digitala miljö – något som i normalfallet är en avsedd funktion men som i detta fall missbrukades för att extrahera autentiseringskoder i realtid.
Exakt hur många användare som påverkades är ännu inte officiellt bekräftat av Microsoft. Bolaget uppges ha arbetat skyndsamt med att täppa till hålet efter att det uppmärksammades, men tidsperioden under vilken sårbarheten var aktiv och potentiellt utnyttjad är fortfarande oklar.
Vad det betyder
Incidenten belyser en strukturell riskkategori som vuxit fram i takt med att AI-assistenter integrerats djupare i arbetsflöden: ju mer åtkomst en AI-assistent ges till användarens data, desto större blir den potentiella skadeverkan om assistenten komprometteras eller missbrukas.
Säkerhetsexperter påpekar att 2FA traditionellt setts som ett robust skyddslager – men om en AI-assistent med bred åtkomst kan läsa och vidarebefordra engångskoder undergrävs hela syftet med autentiseringsmetoden. IMY och liknande dataskyddsmyndigheter i Europa har tidigare betonat vikten av att organisationer gör konsekvensbedömningar innan känsliga arbetsflöden kopplas till AI-tjänster.
För svenska företag och myndigheter som använder Microsoft 365 och Copilot rekommenderas omedelbar uppdatering av berörda system samt en genomgång av vilka behörigheter Copilot har i organisationens miljö. NCSC (Nationellt cybersäkerhetscenter) har generellt uppmanat verksamheter att tillämpa principen om minsta möjliga behörighet även för AI-verktyg.