Μια νέα έκθεση από την Επιτροπή Αναθεώρησης για την Ασφάλεια στον Κυβερνοχώρο των ΗΠΑ διαπίστωσε ότι η Microsoft θα μπορούσε να είχε αποτρέψει Κινέζους χάκερ από το να παραβιάσουν τα κυβερνητικά μηνύματα ηλεκτρονικού ταχυδρομείου των ΗΠΑ μέσω του λογισμικού Microsoft Exchange Online πέρυσι.
Το περιστατικό, που περιγράφεται ως «καταρράκτης αποτυχιών ασφαλείας» της Microsoft, επέτρεψε σε Κινέζους, κρατικά χορηγούμενους, χάκερ να αποκτήσουν πρόσβαση στα ηλεκτρονικά εισερχόμενα email 22 οργανισμών, επηρεάζοντας περισσότερα από 500 άτομα, συμπεριλαμβανομένων υπαλλήλων της κυβέρνησης των ΗΠΑ που εργάζονται για την εθνική ασφάλεια.
Επένδυση μαμούθ της Microsoft για τη δημιουργία AI κέντρων δεδομένων
Ανάλογο, καυστικό, πόρισμα εξέδωσε και το αμερικανικό υπουργείο Εσωτερικής Ασφάλειας (DHS), στο οποίο υπάγεται η Επιτροπή Αναθεώρησης, αφού διαπίστωσε ότι το χακάρισμα μπορούσε να αποφευχθεί και ότι ορισμένες αποφάσεις στο εσωτερικό της Microsoft συνέβαλαν σε «μια εταιρική κουλτούρα που απομάκρυνε τις επενδύσεις σε εταιρική ασφάλεια και την αυστηρή διαχείριση κινδύνου».
Οι χάκερ ένα κλειδί καταναλωτή για εμπορικό λογαριασμό της Microsoft ώστε να πλαστογραφήσουν διακριτικά για την πρόσβαση στο Outlook (OWA) μέσω της έκδοσης web και του Outlook.com. Το πόρισμα καθιστά σαφές ότι η Microsoft εξακολουθεί να μην είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί, αλλά η βασική θεωρία είναι ότι το κλειδί ήταν μέρος ενός λεγόμενου crash dump, δηλαδή ενός αρχείου ένδειξης σφαλμάτων.
Η Microsoft αναφέρθηκε και η ίδια σε αυτή τη θεωρία τον Σεπτέμβριο και πρόσφατα ενημέρωσε με ανάρτηση για να παραδεχτεί ότι «δεν βρήκαμε ένα crash dump που να περιέχει το επηρεασμένο βασικό υλικό».
Χωρίς πρόσβαση σε αυτό το crash dump, η Microsoft δεν μπορεί να είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί. «Η κύρια υπόθεσή μας παραμένει ότι τα λειτουργικά σφάλματα είχαν ως αποτέλεσμα το βασικό υλικό να εγκαταλείπει το ασφαλές περιβάλλον υπογραφής διακριτικών στο οποίο στη συνέχεια έγινε πρόσβαση σε ένα περιβάλλον εντοπισμού σφαλμάτων μέσω ενός παραβιασμένου λογαριασμού μηχανικής», αναφέρει η Microsoft στην ενημερωμένη ανάρτηση.
Η Microsoft αναγνώρισε στην Επιτροπή Αναθεώρησης Κυβερνοασφάλειας τον Νοέμβριο ότι η ανάρτησή της του Σεπτεμβρίου ήταν ανακριβής, αλλά διορθώθηκε μόνο μήνες αργότερα, στις 12 Μαρτίου «μετά από επανειλημμένες ερωτήσεις του Συμβουλίου σχετικά με τα σχέδια της Microsoft να εκδώσει διόρθωση». Ενώ η Microsoft συνεργάστηκε πλήρως με την έρευνα του συμβουλίου, το συμπέρασμα είναι ότι η κουλτούρα ασφαλείας της Microsoft χρειάζεται αναθεώρηση.
«Το Διοικητικό Συμβούλιο διαπιστώνει ότι αυτή η εισβολή μπορούσε να αποφευχθεί και δεν θα έπρεπε ποτέ να είχε συμβεί», λέει το Συμβούλιο Αναθεώρησης της Κυβερνοασφάλειας. «Το Διοικητικό Συμβούλιο καταλήγει επίσης στο συμπέρασμα ότι η κουλτούρα ασφαλείας της Microsoft ήταν ανεπαρκής και απαιτεί αναθεώρηση, ιδίως υπό το φως της κεντρικής θέσης της εταιρείας στο τεχνολογικό οικοσύστημα και του επιπέδου εμπιστοσύνης που αποδίδουν οι πελάτες στην εταιρεία για την προστασία των δεδομένων και των λειτουργιών τους».
Τα ευρήματα από το συμβούλιο έρχονται την ίδια εβδομάδα που η Microsoft κυκλοφόρησε το Copilot for Security, ένα chatbot με τεχνητή νοημοσύνη, σχεδιασμένο για επαγγελματίες της κυβερνοασφάλειας. Η Microsoft χρεώνει τις επιχειρήσεις 4 δολάρια ανά ώρα χρήσης, ακριβώς τη στιγμή που η εταιρεία παλεύει με μια συνεχιζόμενη επίθεση από Ρώσους χάκερ που χρηματοδοτούνται από το ρωσικό κράτος.
Η Nobelium, η ίδια ομάδα πίσω από την επίθεση στην SolarWinds, κατάφερε να κατασκοπεύει ορισμένα εισερχόμενα email στελεχών της Microsoft για μήνες. Αυτή η αρχική εισβολή οδήγησε επίσης στην κλοπή μέρους από τον πηγαίο κώδικα της Microsoft, με την ίδια την εταιρεία να παραδέχεται πρόσφατα ότι η ομάδα είχε πρόσβαση στα αποθετήρια πηγαίου κώδικα και στα εσωτερικά συστήματα της εταιρείας.
Η Microsoft προσπαθεί τώρα να αναθεωρήσει την ασφάλεια του λογισμικού της μετά την παραβίαση των email της κυβέρνησης των ΗΠΑ πέρυσι και παρόμοιες επιθέσεις στον κυβερνοχώρο τα τελευταία χρόνια. Το νέο Secure Future Initiative (SFI) της Microsoft έχει σχεδιαστεί για να αναθεωρήσει τον τρόπο με τον οποίο σχεδιάζει, κατασκευάζει, δοκιμάζει και λειτουργεί το λογισμικό και τις υπηρεσίες της. Είναι η μεγαλύτερη αλλαγή στις προσπάθειες ασφαλείας της Microsoft από τότε που η εταιρεία παρουσίασε τον Κύκλο Ζωής Ανάπτυξης Ασφαλείας (SDL) το 2004 μετά το καταστροφικό «σκουλήκι» Blaster που έπληξε μηχανήματα με Windows XP εκτός σύνδεσης το 2003.
Latest News
Η Microsoft ανακοινώνει νέους υπολογιστές με AI τσιπ από την Qualcomm
Οι νέοι υπολογιστές με δυνατότητα AI θα τροφοδοτούνται από τους επεξεργαστές Snapdragon X Elite και X Plus της Qualcomm
Πώς η ΔΕΗ μετατρέπεται σε Powertech παίκτη – Το σχέδιο Στάσση
Το καλώδιο μεταφοράς δεδομένων Σ. Αραβίας – Ελλάδας και η είσοδος στα Data Centers
Πώς προχωρούν το 5ο και 6ο data center της Digital Realty στην Ελλάδα
Η εταιρεία λειτουργεί σήμερα στη Ελλάδα τρία data centers, με το υπερσύγχρονο ATH3 (Athens 3) να είναι και το μεγαλύτερο στη χώρα, ικανό να υποστηρίξει έως και 6.8 MW
Η Σκάρλετ Γιόχανσον κατηγορεί το ChatGPT ότι της έκλεψε τη φωνή
Η απάντηση της εταιρείας και το tweet του Άλτμαν
Nvidia: Ποιος μπορεί να εκθρονίσει τη βασίλισσα;
Τα γλωσσικά μοντέλα και το στοίχημα των GPU
Κυβερνοασφάλεια: Πόσο εύκολο είναι να χακάρεις ένα τηλέφωνο;
Στοιχεία δείχνουν ότι μια τεχνολογία στον κλάδο των τηλεπικοινωνιών χρησιμοποιήθηκε για την κατασκοπεία ανθρώπων στην Αμερική
Νέα επένδυση της Google σε data center στη Φινλανδία
Θέλουν να εκμεταλλευθούν το ψυχρό κλίμα, τις σημαντικές φοροελαφρύνσεις και την άφθονη διαθεσιμότητα ενέργειας προερχόμενης από ανανεώσιμες πηγές
Πότε θα υιοθετήσουν πλήρως την AI οι επιχειρήσεις - Η έκθεση της KPMG
Σχεδόν τα τρία τέταρτα των επιχειρήσεων χρησιμοποιούν ήδη την Τεχνητή Νοημοσύνη (ΑΙ) για τις χρηματοοικονομικές αναφορές τους
Ο CEO της Amazon συμβουλεύει: Το προσόν που οδηγεί τους υπαλλήλους στην επιτυχία
Αξίζει να σημειωθεί ότι η ηγεσία της Amazon έχει δεχτεί πυρά για τη μεταχείριση των εργαζομένων στις αποθήκες
Ξανά στο διάστημα η Blue Origin του Μπέζος
Στην πτήση επενέβαιναν έξι επιβάτες