Amit Yoran, prezes firmy z branży bezpieczeństwa Tenable, w ostrych słowach wypowiedział się o zaniedbaniach dotyczących zabezpieczeń usług chmurowych Microsoft Azure. Jak mówi ekspert, korporacja prezentuje „rażącą nieodpowiedzialność”, a na dodatek kultywuje „kulturę toksycznego zatajania” informacji.
Luka w usługach Microsoftu – firma zwleka miesiącami
Eksperci Tenable wykryli ogromną lukę w zabezpieczeniach chmurowych Azure jeszcze w marcu 2023 roku. Czekali na poprawki parę miesięcy, aż w końcu przekazali lukę do informacji publicznej w poniedziałek, 31 lipca. Zwykle jest to motywator, który zachęca firmy do jak najszybszej naprawy problemu w zabezpieczeniach.
Od tego czasu gigant z Redmont miał nadal nie zrobić nic, by załatać bardzo poważny problem. To wywołało ostatnią publiczną naganę CEO.
– Jeśli chcecie wiedzieć, jak ogromy to jest błąd. Nasz zespół bardzo szybko odkrył wiele sekretów systemu uwierzytelniania jednego z banków. Nasi pracownicy byli tak zaniepokojeni, że natychmiast poinformowaliśmy Microsoft. Czy firma naprawiła błędy? Oczywiście, że nie. Po ponad 90 dniach wprowadzono częściową poprawkę. Zlikwidowało to lukę zaledwie w paru aplikacjach – grzmi Yoran.
Microsoft padł ofiarą chińskich hakerów
Niedawno amerykański senator Ron Wyden także zganił Microsoft za „zaniedbania w cyberbezpieczeństwie”. Tym razem za doprowadzenie do ogromnego ataku, w którym hakerzy przejęli dużą liczbę poufnych danych władz USA.
Znana z międzynarodowego szpiegostwa grupa z Chin zyskała dostęp do rządowych kont e-mail. Atak miał być wysoce zaawansowany i dotyczył wielu komórek w administracji USA.
Sprawą zajęli się specjaliści z firmy Microsoft, którzy wskazali, że przejęcie systemu pozostało niezauważone przez około miesiąc. Ci sami cyberprzestępcy mieli przejąć konta e-mail związane z 25 organizacjami, w tym z agencjami rządowymi USA.
Jak dodają eksperci – hakerzy nie działali masowo, a celowali w przejęcie konkretnych kont należących do urzędników. Odbyło się to za pomocą sfałszowanych tokenów dostępu, jakie wytworzyli internetowi przestępcy. Te posłużyły do wykorzystania błędu w zabezpieczeniach infrastruktury chmurowej Microsoftu.
Czytaj też:
Elon Musk ma ogromny problem. Marka X należy do Microsoftu… i MetaCzytaj też:
Microsoft traci na giełdzie. Inwestycje w AI nie pomogły