Senator graja Microsoft zaradi malomarnosti pri vdoru v e-pošto 365

Vodje Ministrstva za pravosodje, Agencije za kibernetsko varnost in varnost infrastrukture ter Zvezne komisije za trgovino so 27. julija prejeli pismo ameriškega senatorja Rona Wydena (D-Ore.), v katerem jih prosi, naj Microsoft smatrajo odgovornega za "malomarne varnostne prakse."

To se zgodi po vdoru v Microsoft 365, kjer so hekerji kitajske vlade uspeli dostop do e-poštnih računov 25 organizacij. Microsoft je trdil, da je do kompromisa prišlo zaradi treh izkoriščenih ranljivosti njegove e-poštne storitve Exchange Online in Azure Active Directory. Po mnenju a Microsoftova objava v blogu, "kitajski akter grožnje s ciljem vohunjenja" je 15. maja začel uporabljati ponarejene žetone za preverjanje pristnosti za dostop do e-pošte. Microsoft je blokiral zlonamerne kampanje, potem ko je stranka obvestila podjetje in neposredno obvestila prizadete stranke - čeprav je drugo varnostno podjetje nedavno izjavilo, da številne druge aplikacije Azure AD so prav tako lahko ogrožene.

Senator Wyden verjame, da je Microsoft zamolčanje ključnih informacij o vdoru, ker se je Microsoft zelo potrudil, da bi se izognil izjavi, da so njegovo infrastrukturo vdrli akterji groženj. 

Pismo, ki je dolgo štiri strani, podrobno opisuje, kako ta vohunska operacija ni prvič, da je tuja vlada poskušala vdreti v e-pošto ameriških vlad, in opozarja, da 2020 SolarWinds hekerska kampanja. 

»Microsoft nikoli ni prevzel odgovornosti za svojo vlogo v kampanji vdiranja SolarWinds. Zveznim agencijam je pripisala krivdo, ker je niso spodbudile k prednostni obrambi pred tehniko kraje šifrirnih ključev, ki jo uporablja Rusija in za katero je Microsoft vedel že od leta 2017. Svoje stranke je obtožila uporabe privzetih nastavitev beleženja, ki jih je izbral Microsoft, nato pa jih je obtožila, da niso shranile šifrirne ključe visoke vrednosti v trezorju strojne opreme,« Wyden navedel v svojem pismu. "Za to, da bo Microsoft odgovoren za njegovo malomarnost, bodo potrebna prizadevanja celotne vlade."

Nadalje našteva ukrepe, ki jih morajo vodje različnih oddelkov sprejeti, da bi Microsoft odgovarjal za to zadnjo kršitev, čeprav so posamezniki, omenjeni v njegovem pismu – CISA Režiserka Jen Easterly, Generalni državni tožilec Merrick Garland, in FTC Predsednica Lina Khan — bo upošteval njegove prošnje, je prezgodaj reči.