Senaator süüdistab Microsofti hooletuse eest 365 e-posti rikkumises

Justiitsosakonna, küberjulgeoleku ja infrastruktuuri turbeagentuuri ning föderaalse kaubanduskomisjoni juhid said 27. juulil USA senaatorilt Ron Wydenilt (D-Ore) kirja, milles paluti Microsofti vastutusele võtta "hooletute turvatavade eest".

See juhtus pärast Microsoft 365 rikkumist, kus Hiina valitsuse häkkerid suutsid pääsete juurde 25 organisatsiooni e-posti kontodele. Microsoft väitis, et kompromiss tulenes kolmest ära kasutatud haavatavusest tema Exchange Online'i meiliteenuses ja Azure Active Directory's. Vastavalt a Microsofti ajaveebipostitus, hakkas spionaažieesmärgiga Hiinas asuv ohustaja 15. mail kasutama meilidele juurdepääsuks võltsitud autentimismärke. Microsoft blokeeris pahatahtlikud kampaaniad pärast seda, kui klient teavitas ettevõtet ja teavitas mõjutatud kliente otse – kuigi mõni teine ​​turvafirma ütles hiljuti, et ohus võivad olla ka paljud teised Azure AD rakendused.

Nüüd usub senaator Wyden, et Microsoft on võtmeteabe varjamine häkkimise kohta, kuna Microsoft on näinud palju vaeva, vältimaks väiteid, et ohus osalejad rikkusid tema infrastruktuuri. 

Neli lehekülge pikk kiri kirjeldab üksikasjalikult, kuidas see spionaažioperatsioon ei ole esimene kord, kui välisriigi valitsus üritab USA valitsuste e-kirju häkkida, märkides 2020. SolarWinds häkkimise kampaania. 

"Microsoft ei võtnud kunagi vastutust oma rolli eest SolarWindsi häkkimiskampaanias. Ta süüdistas föderaalagentuure, et nad ei sunninud teda prioriteediks kaitsma Venemaa kasutatava krüpteerimisvõtme varguse tehnika vastu, millest Microsoft oli teadnud alates 2017. aastast. Ta süüdistas oma kliente Microsofti valitud logimise vaikeseadete kasutamises ja süüdistas neid siis, et nad ei salvestanud neid. riistvarahoidlas olevad kõrge väärtusega krüpteerimisvõtmed. Wyden ütles oma kirjas. "Microsofti hooletuse eest vastutusele võtmine nõuab kogu valitsuse jõupingutusi."

Ta loetleb edasi toimingud, mida erinevate osakondade juhid peavad võtma, et Microsofti selle viimase rikkumise eest vastutusele võtta, hoolimata sellest, kas tema kirjas – CISA – mainitud isikud Režissöör Jen Easterly, peaprokurör Merrick Garland, ja FTC Juhataja Lina Khan — kas ta taotlusi kuulda võtab, on liiga vara öelda.