Microsoft w ogniu krytyki za „rażące zaniedbania” w zakresie cyberbezpieczeństwa

Microsoft ofiarą ataku chińskich hakerów

Burza wokół Microsoftu przybiera na sile. Gigant technologiczny po raz kolejny oskarżany jest o serię „rażących zaniedbań” w zakresie ochrony danych gromadzonych w ramach swoich usług. I wiele wskazuje na to, że zarzuty te są uzasadnione.

11 lipca 2023 r. firma ujawniła, że padła ofiarą ataku chińskiej szpiegowskiej grupy hakerskiej znanej jako Storm-0558. Organizacja złamała zabezpieczenia platformy chmurowej Microsoft Azure i wykradła nieznaną liczbę poufnych maili z 25 instytucji powiązanych z amerykańskim rządem.

Pod koniec lipca 2023 r. amerykański senator Ron Wyden wystosował w tej sprawie oficjalny list skierowany do amerykańskiej Agencji ds. Cyberbezpieczeństwa (CISA), Departamentu Sprawiedliwości i Federalnej Komisji Handlu. Senator nawołuje w nim do pociągnięcia Microsoftu do odpowiedzialności za „nierozważne praktyki w zakresie cyberbezpieczeństwa, które przyczyniły się do udanej kampanii szpiegowskiej Chin przeciw rządowi USA”.

Microsoft - rażące zaniedbania i niska przejrzystość informacji

To jednak tylko wierzchołek góry lodowej. Jeszcze głębszy wgląd w zaniedbania Microsoftu zapewnił Amit Yoran, dyrektor generalny firmy Tenable, zajmującej się m.in. przeprowadzaniem audytów bezpieczeństwa danych.

– Brak przejrzystości firmy Microsoft dotyczy naruszeń zabezpieczeń, nieodpowiedzialnych praktyk w zakresie bezpieczeństwa i luk w oprogramowaniu, które narażają ich klientów na ryzyko, o którym celowo nie są informowani – przekonuje Yoran w artykule opublikowanym na LinkedInie.

W swoim wpisie dyrektor Tenable powołuje się m.in. na audyt platformy Microsoft Azure przeprowadzony przez jego firmę jeszcze w marcu 2023 r. Odkryto wówczas poważną lukę w zabezpieczeniach, która umożliwiała nieautoryzowany dostęp do wrażliwych danych licznych podmiotów korzystających z usług platformy. Według Yorana Microsoft został natychmiast powiadomiony o zagrożeniu, ale firma zwlekała z podjęciem jakichkolwiek działań. Aktualizacja systemu pojawiła się dopiero 90 dni później, ale nawet wtedy problem rozwiązano tylko częściowo.

– Oznacza to, że podmioty wciąż są narażone na atak, ponad 120 dni od złożenia zawiadomienia o usterce […]. I wedle naszej najlepszej wiedzy, firmy te wciąż nie mają pojęcia o tym, że są narażone na niebezpieczeństwo i nie mogą podejmować świadomych decyzji w kwestii bezpieczeństwa swoich danych – dodaje Yoran.

Jego zdaniem w Microsofcie panuje „niska przejrzystość” informacji oraz kultura „toksycznego zaciemniania” faktycznego stanu rzeczy, a sytuacja jest „gorsza, niż wszyscy sądzą”. Microsoft odniósł się do tych zarzutów w oświadczeniu przesłanym do serwisu The Verge. Czytamy w nim:

"Doceniamy współpracę ze społecznością zajmującą się bezpieczeństwem w celu odpowiedzialnego ujawniania problemów z naszymi produktami. Dokładnie przestrzegamy złożonego procesu obejmującego badanie, opracowywanie aktualizacji dla wszystkich wersji problematycznych produktów oraz testowanie zgodności między innymi systemami operacyjnymi i aplikacjami. Ostatecznie opracowanie aktualizacji zabezpieczeń to delikatna równowaga między terminowością a jakością, przy jednoczesnym zapewnieniu maksymalnej ochrony klienta przy minimalnych zakłóceniach".