Dirk Knop schreibt in »MFA-Schutz von Microsofts Azure war aushebelbar« für heise.de

Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten.