Microsoft обвиняют в «небрежной практике кибербезопасности», которая «позволяет китайскому шпионажу действовать против правительства США»

Генеральный директор Tenable говорит, что банковские реквизиты по-прежнему доступны из-за проблемы с безопасностью платформы Microsoft Azure, и исправления не ожидаются до сентября.

После того, как Microsoft признала, что ее платформа Azure была взломана китайской хакерской группой Storm-0558, председатель и главный исполнительный директор гиганта сетевой безопасности Tenable Амит Йоран обратился к принадлежащей Microsoft социальной платформе LinkedIn, чтобы выразить свое недовольство методами безопасности Microsoft.

Ссылаясь на письмо, недавно отправленное сенатором США Роном Уайденом Агентству кибербезопасности и безопасности инфраструктуры (CISA), Министерству юстиции (DoJ) и Федеральной торговой комиссии (FTC), Йоран призывает Microsoft ответить за «отсутствие прозрачности» и «повторяющийся образец небрежной практики кибербезопасности, который позволил китайскому шпионажу против правительства Соединенных Штатов».

Это серьезное обвинение, и цифры Google Project Zero, кажется, добавляют соли на рану, поскольку Йоран отмечает, что «на продукты Microsoft приходилось в совокупности 42,5% всех нулевых дней, обнаруженных с 2014 года».

Главный аргумент Йорана связан со взломом Azure. Он говорит, что члены исследовательской группы Tenable ранее проверяли любые потенциальные проблемы с безопасностью Azure только для того, чтобы быстро получить доступ к некоторым довольно конфиденциальным данным банковской аутентификации.

Его команда уведомила Microsoft, как только осознала серьезность проблемы, и Йоран очень расстроен кажущимся пресыщенным отношением к этому вопросу.

«Удалось ли Microsoft быстро решить проблему, которая могла фактически привести к взлому сетей и служб нескольких клиентов? Конечно, нет. Им потребовалось более 90 дней, чтобы реализовать частичное исправление — и только для новых приложений, загружаемых в службу».

Амит Йоран

120 дней спустя, после появления сообщения Йорана, эти банковские реквизиты остаются открытыми. И хотя Microsoft обещает решить проблемы к сентябрю, Йоран ясно дает понять, что четыре месяца ожидания исправления — это «крайняя безответственность, если не вопиющая небрежность».

Источник: Microsoft accused of 'negligent cybersecurity practices' that 'enabled Chinese espionage against the US government'