Paige Henley
Publicado em: 9 de abril de 2024
O Conselho de Revisão de Segurança Cibernética dos EUA revelou recentemente que uma violação de segurança significativa envolvendo e-mails do governo dos EUA através do software Microsoft Exchange Online poderia ter sido evitada.
Esta violação foi orquestrada por hackers patrocinados pelo Estado chinês e foi o resultado de uma “cascata de falhas de segurança” na Microsoft. Os hackers obtiveram acesso às caixas de entrada de e-mail online de 22 organizações, impactando mais de 500 indivíduos, incluindo funcionários do governo dos EUA envolvidos em tarefas de segurança nacional.
O Departamento de Segurança Interna dos EUA divulgou um relatório criticando duramente a Microsoft pelos seus erros evitáveis e por promover uma cultura corporativa que dava baixa prioridade aos investimentos em segurança e à gestão rigorosa dos riscos.
O método de ataque envolveu os hackers utilizando uma chave de consumidor de conta da Microsoft roubada para falsificar tokens para acessar o Outlook na web e o Outlook.com. Apesar da incerteza da Microsoft sobre como a chave foi inicialmente comprometida – suspeitando que poderia ter sido parte de um crash dump – eles reconheceram as limitações de sua teoria.
Ao abordar a violação, a Microsoft inicialmente divulgou informações imprecisas por meio de uma postagem no blog de setembro de 2023, que só foi corrigida em março de 2023, após consultas persistentes do Conselho de Revisão de Segurança Cibernética. Este atraso na correção e a total cooperação prestada durante a investigação do conselho destacaram a necessidade de uma reformulação significativa na cultura de segurança da Microsoft.
O Conselho de Revisão de Segurança Cibernética concluiu que não só a intrusão era evitável, mas também que as medidas de segurança da Microsoft eram gravemente deficientes, enfatizando a necessidade de uma revisão, dado o papel fundamental da Microsoft no ecossistema tecnológico:
“O Conselho considera que esta intrusão era evitável e nunca deveria ter ocorrido. O Conselho também conclui que a cultura de segurança da Microsoft era inadequada e requer uma revisão, particularmente à luz da centralidade da empresa no ecossistema tecnológico e do nível de confiança que os clientes depositam na empresa para proteger os seus dados e operações”, o relatório lê.
Em resposta à violação e aos subsequentes incidentes de cibersegurança, a Microsoft está a tomar medidas para melhorar substancialmente a segurança do seu software através da introdução da Secure Future Initiative (SFI). Suas mudanças também incluem o lançamento do Copilot for Security, um chatbot com tecnologia de IA destinado a auxiliar profissionais de segurança cibernética.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.safetydetectives.com/news/microsofts-cloud-cybersecurity-has-fatal-shortcomings/
- :tem
- :é
- :não
- 2023
- 22
- 40
- 500
- 9
- a
- Sobre
- Acesso
- acessando
- Conta
- reconhecido
- endereçando
- Afiliados
- Depois de
- Alimentado por AI
- Destinado
- tb
- an
- e
- At
- ataque
- avatar
- sido
- Blog
- borda
- violação
- mas a
- by
- Centralidade
- Alterações
- chatbot
- chinês
- Na nuvem
- COM
- Empresa
- Empresa
- Comprometido
- Concluído
- conclui
- consumidor
- cooperação
- Responsabilidade
- corrigida
- poderia
- Crash
- Cultura
- Clientes
- cibernético
- Cíber segurança
- dados,
- atraso
- Departamento
- Departamento de Segurança Interna
- Apesar de
- despejar
- durante
- ecossistema
- e-mails
- enfatizando
- colaboradores
- contratado
- exchange
- encontra
- Escolha
- forjar
- fomento
- da
- cheio
- futuro
- ganhou
- dado
- Governo
- hackers
- Ter
- Henry
- pátria
- Segurança Interna
- Como funciona o dobrador de carta de canal
- HTTPS
- impactando
- melhorar
- in
- impreciso
- incluir
- Incluindo
- indivíduos
- INFORMAÇÕES
- inicialmente
- Iniciativa
- Inquéritos
- Introdução
- investigação
- Investimentos
- envolvido
- envolvendo
- IT
- ESTÁ
- Chave
- sem
- lançamento
- Nível
- leve
- limitações
- LINK
- Baixo
- de grupos
- Março
- medidas
- método
- Microsoft
- poder
- Nacional
- segurança nacional
- necessidade
- você merece...
- nunca
- ocorreu
- of
- on
- online
- só
- Operações
- orquestrada
- organizações
- Outlook
- Acima de
- Inspecionar
- parte
- particularmente
- essencial
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- Publique
- evitada
- prioridade
- proteger
- fornecido
- lê
- recentemente
- liberado
- Denunciar
- exige
- resposta
- resultar
- Revelado
- rever
- Risco
- gestão de risco
- Tipo
- Segurança
- seguro
- segurança
- Medidas de Segurança
- Setembro
- severamente
- falhas
- rede de apoio social
- periodo
- Software
- Passos
- roubado
- Estrito
- subseqüente
- substancialmente
- tomar
- tarefas
- Tecnologia
- que
- A
- deles
- isto
- Através da
- para
- Tokens
- Confiança
- Incerteza
- us
- governo dos Estados Unidos
- Utilizando
- via
- foi
- web
- webp
- foram
- qual
- zefirnet