Генеральный директор Tenable Амит Йоран обнародовал инцидент, иллюстрирующий, что отношение Microsoft к кибербезопасности «хуже, чем вы думаете» — компания пренебрегает вопросами защиты данных и неоправданно затягивает с исправлением собственных ошибок.
Последний крупный инцидент кибербезопасности Microsoft произошел 12 июля, когда китайская хакерская группа Storm-0558 взломала облачную платформу Azure — атака затронула около 25 организаций и привела к краже конфиденциальной переписки правительственных чиновников США. По словам эксперта, Microsoft систематически демонстрирует пренебрежение к вопросу защиты данных: Tenable удалось найти очередную уязвимость в инфраструктуре Azure, и софтверный гигант слишком долго ее устранял.
Баг был обнаружен в марте — он давал потенциальным злоумышленникам доступ к конфиденциальным данным, в том числе к ресурсам одного из банков. Tenable уведомила Microsoft об уязвимости, но последней потребовалось «более 90 дней, чтобы развернуть частичное исправление», которое, однако, относится только к «новым приложениям, загружаемым службой». Пострадавшие организации, в том числе тот же банк, «запустивший сервис до выпуска патча», по-прежнему подвержены уязвимости и, вероятно, не подозревают о риске.
Microsoft планирует окончательно решить проблему к концу сентября, которую эксперт характеризует как «крайнюю безответственность, если не вопиющее пренебрежение». Кроме того, по данным Google Project Zero, 42,5% всех уязвимостей нулевого дня, обнаруженных с 2014 года, приходится на продукты Microsoft. Недавно Wiz сообщил, что взлом Azure может иметь более серьезные последствия, чем предполагалось изначально, но Microsoft отвергла его выводы.
Тем временем на критику Горана отреагировал старший директор Microsoft Джефф Джонс. «Мы ценим сотрудничество с сообществом [кибер]безопасность ответственного раскрытия информации о продуктах. Мы следуем обширному процессу, который включает тщательное исследование, разработку обновлений для всех версий затронутых продуктов и тестирование совместимости с другими операционными системами и приложениями. В конечном итоге разработка обновления безопасности — это тонкий баланс между своевременностью и качеством при максимальной защите клиентов и минимальном нарушении их работы», — цитирует The Verge заявление топ-менеджера.
Специальная подборка для Вас