
Μια νέα έκθεση από την Επιτροπή Αναθεώρησης για την Ασφάλεια στον Κυβερνοχώρο των ΗΠΑ διαπίστωσε ότι η Microsoft θα μπορούσε να είχε αποτρέψει Κινέζους χάκερ από το να παραβιάσουν τα κυβερνητικά μηνύματα ηλεκτρονικού ταχυδρομείου των ΗΠΑ μέσω του λογισμικού Microsoft Exchange Online πέρυσι.
Το περιστατικό, που περιγράφεται ως «καταρράκτης αποτυχιών ασφαλείας» της Microsoft, επέτρεψε σε Κινέζους, κρατικά χορηγούμενους, χάκερ να αποκτήσουν πρόσβαση στα ηλεκτρονικά εισερχόμενα email 22 οργανισμών, επηρεάζοντας περισσότερα από 500 άτομα, συμπεριλαμβανομένων υπαλλήλων της κυβέρνησης των ΗΠΑ που εργάζονται για την εθνική ασφάλεια.
Επένδυση μαμούθ της Microsoft για τη δημιουργία AI κέντρων δεδομένων
Ανάλογο, καυστικό, πόρισμα εξέδωσε και το αμερικανικό υπουργείο Εσωτερικής Ασφάλειας (DHS), στο οποίο υπάγεται η Επιτροπή Αναθεώρησης, αφού διαπίστωσε ότι το χακάρισμα μπορούσε να αποφευχθεί και ότι ορισμένες αποφάσεις στο εσωτερικό της Microsoft συνέβαλαν σε «μια εταιρική κουλτούρα που απομάκρυνε τις επενδύσεις σε εταιρική ασφάλεια και την αυστηρή διαχείριση κινδύνου».
Οι χάκερ ένα κλειδί καταναλωτή για εμπορικό λογαριασμό της Microsoft ώστε να πλαστογραφήσουν διακριτικά για την πρόσβαση στο Outlook (OWA) μέσω της έκδοσης web και του Outlook.com. Το πόρισμα καθιστά σαφές ότι η Microsoft εξακολουθεί να μην είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί, αλλά η βασική θεωρία είναι ότι το κλειδί ήταν μέρος ενός λεγόμενου crash dump, δηλαδή ενός αρχείου ένδειξης σφαλμάτων.
Η Microsoft αναφέρθηκε και η ίδια σε αυτή τη θεωρία τον Σεπτέμβριο και πρόσφατα ενημέρωσε με ανάρτηση για να παραδεχτεί ότι «δεν βρήκαμε ένα crash dump που να περιέχει το επηρεασμένο βασικό υλικό».
Χωρίς πρόσβαση σε αυτό το crash dump, η Microsoft δεν μπορεί να είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί. «Η κύρια υπόθεσή μας παραμένει ότι τα λειτουργικά σφάλματα είχαν ως αποτέλεσμα το βασικό υλικό να εγκαταλείπει το ασφαλές περιβάλλον υπογραφής διακριτικών στο οποίο στη συνέχεια έγινε πρόσβαση σε ένα περιβάλλον εντοπισμού σφαλμάτων μέσω ενός παραβιασμένου λογαριασμού μηχανικής», αναφέρει η Microsoft στην ενημερωμένη ανάρτηση.
Η Microsoft αναγνώρισε στην Επιτροπή Αναθεώρησης Κυβερνοασφάλειας τον Νοέμβριο ότι η ανάρτησή της του Σεπτεμβρίου ήταν ανακριβής, αλλά διορθώθηκε μόνο μήνες αργότερα, στις 12 Μαρτίου «μετά από επανειλημμένες ερωτήσεις του Συμβουλίου σχετικά με τα σχέδια της Microsoft να εκδώσει διόρθωση». Ενώ η Microsoft συνεργάστηκε πλήρως με την έρευνα του συμβουλίου, το συμπέρασμα είναι ότι η κουλτούρα ασφαλείας της Microsoft χρειάζεται αναθεώρηση.
«Το Διοικητικό Συμβούλιο διαπιστώνει ότι αυτή η εισβολή μπορούσε να αποφευχθεί και δεν θα έπρεπε ποτέ να είχε συμβεί», λέει το Συμβούλιο Αναθεώρησης της Κυβερνοασφάλειας. «Το Διοικητικό Συμβούλιο καταλήγει επίσης στο συμπέρασμα ότι η κουλτούρα ασφαλείας της Microsoft ήταν ανεπαρκής και απαιτεί αναθεώρηση, ιδίως υπό το φως της κεντρικής θέσης της εταιρείας στο τεχνολογικό οικοσύστημα και του επιπέδου εμπιστοσύνης που αποδίδουν οι πελάτες στην εταιρεία για την προστασία των δεδομένων και των λειτουργιών τους».
Τα ευρήματα από το συμβούλιο έρχονται την ίδια εβδομάδα που η Microsoft κυκλοφόρησε το Copilot for Security, ένα chatbot με τεχνητή νοημοσύνη, σχεδιασμένο για επαγγελματίες της κυβερνοασφάλειας. Η Microsoft χρεώνει τις επιχειρήσεις 4 δολάρια ανά ώρα χρήσης, ακριβώς τη στιγμή που η εταιρεία παλεύει με μια συνεχιζόμενη επίθεση από Ρώσους χάκερ που χρηματοδοτούνται από το ρωσικό κράτος.
Η Nobelium, η ίδια ομάδα πίσω από την επίθεση στην SolarWinds, κατάφερε να κατασκοπεύει ορισμένα εισερχόμενα email στελεχών της Microsoft για μήνες. Αυτή η αρχική εισβολή οδήγησε επίσης στην κλοπή μέρους από τον πηγαίο κώδικα της Microsoft, με την ίδια την εταιρεία να παραδέχεται πρόσφατα ότι η ομάδα είχε πρόσβαση στα αποθετήρια πηγαίου κώδικα και στα εσωτερικά συστήματα της εταιρείας.
Η Microsoft προσπαθεί τώρα να αναθεωρήσει την ασφάλεια του λογισμικού της μετά την παραβίαση των email της κυβέρνησης των ΗΠΑ πέρυσι και παρόμοιες επιθέσεις στον κυβερνοχώρο τα τελευταία χρόνια. Το νέο Secure Future Initiative (SFI) της Microsoft έχει σχεδιαστεί για να αναθεωρήσει τον τρόπο με τον οποίο σχεδιάζει, κατασκευάζει, δοκιμάζει και λειτουργεί το λογισμικό και τις υπηρεσίες της. Είναι η μεγαλύτερη αλλαγή στις προσπάθειες ασφαλείας της Microsoft από τότε που η εταιρεία παρουσίασε τον Κύκλο Ζωής Ανάπτυξης Ασφαλείας (SDL) το 2004 μετά το καταστροφικό «σκουλήκι» Blaster που έπληξε μηχανήματα με Windows XP εκτός σύνδεσης το 2003.


Latest News

Η ΕΕ βάζει την Big Tech στο κάδρο του εμπορικού πολέμου - Ερχονται πρόστιμα σε Apple και Meta
Με φόντο την κλιμάκωση του εμπορικού πολέμου η Κομισιόν ετοιμάζεται να επιβάλει πρόστιμα στην αφρόκρεμα των αμερικανικών τεχνολογικών εταιρειών

Νορβηγία: Συνετρίβη ο πρώτος τροχιακός πύραυλος που εκτόξευσε η Ευρώπη
Ο πύραυλος εκτοξεύτηκε από διαστημοδρόμιο στη Νορβηγία - Η γερμανική εταιρεία Isar Aerospace είχε κάνει λόγο για «αρχική δοκιμή»

Ήρθε για να μείνει - Το blockchain, οι εφαρμογές του και οι προκλήσεις
Το blockchain είναι μια τεχνολογία που έχει αλλάξει ριζικά τον τρόπο που αντιλαμβανόμαστε τις συναλλαγές

Η τρέλα της OpenAI για το Ghibli... που πήρε περίεργη τροπή
Τα social media έχουν κατακλυστεί με εικόνες στο στυλ του ιαπωνικού οίκου κινουμένων σχεδίων Studio Ghibli που έχει ενσωματώσει της OpenAI

Πώς ο Τραμπ έριξε σε χαμηλό 27 ετών μετοχή αμερικανικής εταιρείας ημιαγωγών
Η Wolfspeed είναι σε αναμονή για κονδύλια ύψους περίπου 750 εκατομμυρίων δολαρίων από ομοσπονδιακή χρηματοδότηση

H EE «ρίχνει» 1,3 δισ. ευρώ σε ΑΙ, κυβερνοασφάλεια και ψηφιακές δεξιότητες
Οι επτά βασικές προτεραιότητες της Κομισιόν στο πλαίσιο του προγράμματος DIGITAL - Τι περιλαμβάνει

To τηλεσκόπιο James Webb κατέγραψε για πρώτη φορά το σέλας του Ποσειδώνα
Οι πρώτες ενδείξεις για σέλας στον Ποσειδώνα χρονολογούνται την εποχή της αποστολής Voyager και επιβεβαιώνονται μόλις τώρα.

Kaspersky: 3,6 φορές πάνω το κακόβουλο λογισμικό στο mobile banking
Νέα έκθεση της Kaspersky για τις οικονομικές κυβερνοαπειλές

Πώς το TikTok ενισχύει τις επιχειρήσεις και την ανάπτυξη τους
Η δύναμη του TikTok δεν περιορίζεται πλέον στη διασκέδαση - Από τα likes στις πωλήσεις

Ο υπερυπολογιστής... Δαίδαλος καταλύτης για brain regain και startups
Ο υπερυπολογιστής Δαίδαλος, με ισχύ 89 PetaFlops θα είναι το ισχυρότερο υπολογιστικό σύστημα στην Ελλάδα και ένα από τα κορυφαία στην Ευρώπη