Microsoft звинуватили в «зухвалій зневазі» кібербезпекою

Генеральний директор ІБ-компанії Tenable Аміт Йоран (Amit Yoran) оприлюднив інцидент, що ілюструє, що ставлення Microsoft до кібербезпеки «ще гірше, ніж ви думаєте» — компанія нехтує питаннями захисту даних і невиправдано затягує виправлення власних помилок.

Останній пов’язаний з кібербезпекою великий інцидент у Microsoft мав місце 12 липня, коли китайське хакерське угруповання Storm-0558 зробило злам хмарної платформи Azure — атака торкнулася близько 25 організацій і призвела до крадіжки конфіденційного листування урядовців США. За версією експерта, Microsoft систематично демонструє нехтування питанням захисту даних: Tenable вдалося виявити ще одну вразливість інфраструктури Azure, і софтверному гіганту знадобилося занадто багато часу, щоб її усунути.

Помилка була виявлена ​​у березні — вона відкривала потенційним зловмисникам доступ до конфіденційних даних, включаючи ресурси одного з банків. Tenable повідомила Microsoft про вразливість, але останній знадобилося «більше 90 днів, щоб розгорнути часткове виправлення» , яке, втім, застосовується лише до «нових програм, що завантажуються службою» . Організації, що опинилися під загрозою, включаючи той самий банк, «які запустили сервіс до виходу виправлення» , все ще схильні до вразливості і про ризик, ймовірно, не обізнані.

Microsoft планує остаточно вирішити проблему до кінця вересня, що експерт характеризує як «крайню безвідповідальність, якщо не кричущу зневагу». До того ж за інформацією Google Project Zero, 42,5% усіх виявлених з 2014 року вразливостей нульового дня припадають на продукти Microsoft. Нещодавно компанія Wiz повідомила, що у злому Azure можуть бути серйозніші наслідки, ніж вважалося спочатку, але в Microsoft її висновки відкинули.

Тим часом на критику Йорана відреагував старший директор Microsoft Джефф Джонс (Jeff Jones). «Ми цінуємо співпрацю зі спільнотою [кібер]безпеки щодо відповідального розкриття проблем із продуктами. Ми виконуємо широку процедуру, яка включає ретельне розслідування, розробку оновлень для всіх версій порушених продуктів та тестування сумісності з іншими операційними системами та додатками. Зрештою, розробка оновлення безпеки – це тонкий баланс між своєчасністю та якістю при максимальному захисті клієнтів та мінімальних перешкодах для них», – наводить The Verge заява топ-менеджера.