Поделиться
Власти США: «Культура безопасности Microsoft неадекватна и требует капитального ремонта»
Совет по оценке кибербезопасности США опубликовал разгромный отчет об оплошностях и ошибках Microsoft, из-за которых в 2023 г. стал возможен взлом электронной почты американских чиновников и кража десятков тысяч их писем.
Безопасности Microsoft требуется ремонт
Взлом облачной электронной почты Microsoft, от которого пострадали несколько американских федеральных агентств в 2023 г., «можно было предотвратить и никогда не должен был произойти», цитирует издание CRN опубликованный отчет Совета по оценке кибербезопасности США (CSRB).
Совет Министерства внутренней безопасности США заявил, что «культура безопасности Microsoft неадекватна и требует капитального ремонта» — это неотложная проблема «в свете центральной роли компании в технологической экосистеме и уровня доверия, которое клиенты оказывают к компании для защиты своих данные и операции».
Что случилось с почтой чиновников
Речь в отчете CSRB шла о взломе электронной почты Microsoft Cloud, который привел к компрометации учетных записей, принадлежащих нескольким правительственным учреждениям США.
Известно, что атака затронула электронную почту министра торговли Джины Раймондо (Gina Raimondo) и других чиновников Министерства торговли, а также члена палаты представителей США Дона Бэкона (Don Bacon) и посла США в Китае Николаса Бернса (Nicholas Burns). В общей сложности 60 тыс. электронных писем было украдено из 10 учетных записей Госдепартамента США.
CNews сообщил в сентябре 2023 г., что Microsoft и Агентство по кибербезопасности и защите инфраструктуры США (CISA) обвиняли в июле 2023 г. в этой атаке власти КНР, отмечая присущий им высочайший уровень знаний и навыков в сфере информационной безопасности.
Позже внутреннее расследование Microsoft выявило недостатки системы, из-за которых группировке Storm-0558, удалось извлечь и похитить криптографический ключ MSA (Microsoft account consumer signing key) из аварийного дампа памяти Windows (снимка содержимого рабочей памяти ОС). Доступ к дампу злоумышленники получили посредством корпоративной учетной записи, украденной у одного из инженеров Microsoft, который имел доступ к отладочному окружению.
В 34-страничном отчете CSRB, о котором пишет CRN, перечисляется целый каскад ошибок Microsoft, которых можно было избежать, и которые позволили этому вторжению увенчаться успехом. Например, неспособность обнаружить взлом ноутбука сотрудника, прежде чем разрешить ему подключиться к корпоративной сети Microsoft.
Ошибкой Microsoft CSRB назвал также ее «решение не исправлять своевременно свои неточные публичные заявления об этом инциденте».
Безопасность — не приоритет
CSRB заявил, что оценил «методы безопасности других поставщиков облачных услуг, которые поддерживали меры безопасности, которых не было у Microsoft».
Компания больше не делает безопасность главным приоритетом, как это изложено в знаменитой записке Билла Гейтса (Bill Gates) 2002 г. «Надежные вычисления», которая подробно цитируется в отчете CSRB: «Microsoft отошла от этого идеала и должна немедленно восстановить его как главный корпоративный приоритет».
В апреле 2024 г. сотрудникам и членам Палаты представителей Конгресса США запретили использовать в работе умного ассистента Copilot от Microsoft в связи с возможными рисками утечки информации, как писал CNews.
Короткая ссылка
