Paige Henley
Veröffentlicht am: 9. April 2024
Das US Cyber Safety Review Board hat kürzlich bekannt gegeben, dass eine erhebliche Sicherheitsverletzung im Zusammenhang mit E-Mails der US-Regierung über die Microsoft Exchange Online-Software hätte verhindert werden können.
Dieser Verstoß wurde von staatlich geförderten chinesischen Hackern inszeniert und war das Ergebnis einer „Kaskade von Sicherheitsmängeln“ bei Microsoft. Die Hacker verschafften sich Zugriff auf die Online-E-Mail-Postfächer von 22 Organisationen und betrafen über 500 Personen, darunter auch Mitarbeiter der US-Regierung, die an Aufgaben der nationalen Sicherheit beteiligt waren.
Das US-Heimatschutzministerium veröffentlichte einen Bericht, in dem es Microsoft scharf für seine vermeidbaren Fehltritte und die Förderung einer Unternehmenskultur kritisierte, die Sicherheitsinvestitionen und striktem Risikomanagement geringe Priorität einräumte.
Bei der Angriffsmethode nutzten die Hacker einen gestohlenen Consumer-Schlüssel eines Microsoft-Kontos, um Token für den Zugriff auf Outlook im Web und Outlook.com zu fälschen. Trotz der Unsicherheit von Microsoft darüber, wie der Schlüssel ursprünglich kompromittiert wurde – und vermutete, dass er Teil eines Crash-Dumps gewesen sein könnte – haben sie die Grenzen ihrer Theorie anerkannt.
Bei der Behebung des Verstoßes verbreitete Microsoft zunächst in einem Blogbeitrag vom September 2023 ungenaue Informationen, die das Unternehmen erst im März 2023 nach anhaltenden Anfragen des Cyber Safety Review Board korrigierte. Diese Verzögerung bei der Korrektur und die uneingeschränkte Kooperation während der Untersuchung des Gremiums machten die Notwendigkeit einer umfassenden Überarbeitung der Sicherheitskultur von Microsoft deutlich.
Das Cyber Safety Review Board kam zu dem Schluss, dass nicht nur der Einbruch vermeidbar war, sondern auch, dass die Sicherheitsmaßnahmen von Microsoft erhebliche Mängel aufwiesen, und betonte die Notwendigkeit einer Überarbeitung angesichts der zentralen Rolle von Microsoft im Technologie-Ökosystem:
„Der Vorstand kommt zu dem Schluss, dass dieser Eingriff vermeidbar war und niemals hätte passieren dürfen. Der Vorstand kommt außerdem zu dem Schluss, dass die Sicherheitskultur von Microsoft unzureichend war und einer Überarbeitung bedarf, insbesondere angesichts der zentralen Stellung des Unternehmens im Technologie-Ökosystem und des Vertrauens, das Kunden dem Unternehmen beim Schutz ihrer Daten und Abläufe entgegenbringen.“ der Bericht liest.
Als Reaktion auf den Verstoß und nachfolgende Cybersicherheitsvorfälle ergreift Microsoft Schritte, um seine Softwaresicherheit durch die Einführung der Secure Future Initiative (SFI) erheblich zu verbessern. Zu den Änderungen gehört auch die Einführung von Copilot for Security, einem KI-gestützten Chatbot, der Cybersicherheitsexperten unterstützen soll.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.safetydetectives.com/news/microsofts-cloud-cybersecurity-has-fatal-shortcomings/
- :hast
- :Ist
- :nicht
- 2023
- 22
- 40
- 500
- 9
- a
- Über uns
- Zugang
- Zugriff
- Konto
- anerkannt
- Adressierung
- Affiliate
- Nach der
- AI-powered
- gezielt
- ebenfalls
- an
- und
- At
- Attacke
- Benutzerbild
- war
- Blog
- Tafel
- Verletzung
- aber
- by
- Zentralität
- Änderungen
- Chatbot
- chinesisch
- Cloud
- COM
- Unternehmen
- Unternehmen
- Kompromittiert
- geschlossen
- schließt ab
- Verbraucher
- Zusammenarbeit
- Unternehmen
- korrigiert
- könnte
- Crash
- KULTUR
- Kunden
- Cyber-
- Internet-Sicherheit
- technische Daten
- verzögern
- Abteilung
- Heimatschutzministerium
- Trotz
- abladen
- im
- Ökosystem
- E-Mails
- Betonung
- Mitarbeiter
- beschäftigt
- Austausch-
- findet
- Aussichten für
- schmieden
- Förderung
- für
- voller
- Zukunft
- gewonnen
- gegeben
- der Regierung
- Hacker
- Haben
- Henley
- Heimat
- Homeland Security
- Ultraschall
- HTTPS
- Auswirkungen
- zu unterstützen,
- in
- ungenau
- das
- Einschließlich
- Einzelpersonen
- Information
- anfänglich
- Initiative
- Anfragen
- Einleitung
- Untersuchung
- Investments
- beteiligt
- Beteiligung
- IT
- SEINE
- Wesentliche
- fehlt
- starten
- Niveau
- !
- Einschränkungen
- LINK
- Sneaker
- Management
- März
- Maßnahmen
- Methode
- Microsoft
- könnte
- National
- nationale Sicherheit
- Notwendigkeit
- Need
- hört niemals
- aufgetreten
- of
- on
- Online
- einzige
- Einkauf & Prozesse
- orchestriert
- Organisationen
- Outlook
- übrig
- Überholung
- Teil
- besonders
- zentrale
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Post
- verhindert
- Prioritätsliste
- Profis
- Risiken zu minimieren
- vorausgesetzt
- liest
- kürzlich
- freigegeben
- berichten
- erfordert
- Antwort
- Folge
- Revealed
- Überprüfen
- Risiko
- Risikomanagement
- Rollen
- Sicherheit
- Verbindung
- Sicherheitdienst
- Sicherheitsmaßnahmen
- September
- stark
- Mängel
- sollte
- signifikant
- Software
- Shritte
- gestohlen
- Streng
- Folge
- im Wesentlichen
- Einnahme
- und Aufgaben
- Technologie
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- fehlen uns die Worte.
- Durch
- zu
- Tokens
- Vertrauen
- Unsicherheit
- us
- uns Regierung
- Verwendung
- wurde
- Netz
- webp
- waren
- welche
- Zephyrnet