Генеральний директор ІБ-компанії Tenable Аміт Йоран оприлюднив інцидент, який ілюструє, що ставлення Microsoft до кібербезпеки “ще гірше, ніж ви думаєте” – компанія нехтує питаннями захисту даних і невиправдано затягує виправлення власних помилок.
Останній пов’язаний із кібербезпекою великий інцидент у Microsoft стався 12 липня, коли китайське хакерське угруповання Storm-0558 здійснило злам хмарної платформи Azure – атака зачепила близько 25 організацій і призвела до крадіжки конфіденційного листування урядових чиновників США. За версією експерта, Microsoft систематично демонструє нехтування питанням захисту даних: Tenable вдалося виявити ще одну вразливість інфраструктури Azure, і софтверному гігантові знадобилося занадто багато часу, щоб її усунути.
Помилка була виявлена в березні – вона відкривала потенційним зловмисникам доступ до конфіденційних даних, включно з ресурсами одного з банків. Tenable повідомила Microsoft про вразливість, але останній знадобилося “понад 90 днів, щоб розгорнути часткове виправлення”, яке, втім, застосовується тільки до “нових застосунків, які завантажуються службою”. Організації, які опинилися під загрозою, включно з тим самим банком, “які запустили сервіс до виходу виправлення”, все ще схильні до вразливості і про ризик, імовірно, не обізнані.
Microsoft планує остаточно розв’язати проблему до кінця вересня, що експерт характеризує як “крайню безвідповідальність, якщо не кричущу зневагу”. До того ж за інформацією Google Project Zero, 42,5% усіх виявлених з 2014 року вразливостей нульового дня припадають на продукти Microsoft. Нещодавно компанія Wiz повідомила, що у злому Azure можуть бути серйозніші наслідки, ніж вважалося спочатку, але в Microsoft її висновки відкинули.
Тим часом на критику Йорана відреагував старший директор Microsоft Джефф Джонс. “Ми цінуємо співпрацю зі спільнотою [кібер]безпеки щодо відповідального розкриття проблем із продуктами. Ми дотримуємося великої процедури, що включає ретельне розслідування, розробку оновлень для всіх версій порушених продуктів і тестування сумісності з іншими операційними системами і додатками. Зрештою, розробка оновлення безпеки – це тонкий баланс між своєчасністю і якістю при максимальному захисті клієнтів і мінімальних перешкодах для них”, – навело The Verge заяву топ-менеджера.
Читайте також: