يقول مجلس الأمن السيبراني المدعوم من الحكومة في تقرير جديد إن الثقافة الأمنية لشركة Microsoft تحتاج إلى العمل.
ويقول التقرير إن الأمن الضعيف لعملاق التكنولوجيا سمح لمجموعة من المتسللين المرتبطين بالصين باختراق شبكات الشركة، بما في ذلك رسائل البريد الإلكتروني لكبار المسؤولين الأمريكيين، في هجوم كان من الممكن منعه الصيف الماضي.
أصدرت وزارة الأمن الداخلي الأمريكية تقرير مجلس مراجعة السلامة السيبرانية (CSRB) يوم الثلاثاء. فيه، يعرض المجلس تفاصيل “سلسلة” من “الأخطاء التي يمكن تجنبها” في أنظمة أمان Microsoft.
على وجه التحديد، قال مجلس الإدارة إن المتسللين – مجموعة تجسس تابعة للحكومة الصينية تسمى Storm-0558 – تمكنوا من استغلال العديد من العيوب في نظام مصادقة Microsoft، مما سمح لهم بتسجيل الدخول إلى “أي حساب Exchange Online في أي مكان في العالم. “
نظرًا لأن Microsoft لم توفر الحماية الكافية لمفاتيح التوقيع، تمكن المتسللون من الوصول إلى حسابات البريد الإلكتروني لكبار الدبلوماسيين الأمريكيين، بما في ذلك وزيرة التجارة جينا ريموندو، وسفير الولايات المتحدة لدى جمهورية الصين الشعبية ر. نيكولاس بيرنز، وعضو الكونجرس دون بيكون. يقول التقرير.
ويلقي التقرير أيضًا باللوم على مايكروسوفت لعدم اكتشافها للحسابات المخترقة بنفسها وإدراكها بوجود خطأ ما فقط عندما أبلغ أحد العملاء عن مشكلة.
وكتب مجلس مراجعة السلامة السيبرانية في تقريره: “يرى المجلس أن هذا الاختراق كان من الممكن منعه وما كان يجب أن يحدث أبدًا”. “يخلص مجلس الإدارة أيضًا إلى أن الثقافة الأمنية لشركة Microsoft غير كافية وتتطلب إصلاحًا شاملاً، لا سيما في ضوء مركزية الشركة في النظام البيئي التكنولوجي ومستوى ثقة العملاء في الشركة لحماية بياناتهم وعملياتهم.”
وفي تصريح لموقع Business Insider، قال متحدث باسم Microsoft: “لقد أظهرت الأحداث الأخيرة الحاجة إلى تبني ثقافة جديدة للأمن الهندسي في شبكاتنا الخاصة”.
وقال المتحدث باسم مايكروسوفت: “على الرغم من أنه لا توجد منظمة محصنة ضد الهجمات الإلكترونية من خصوم ذوي موارد جيدة، فقد قمنا بحشد فرقنا الهندسية لتحديد وتخفيف البنية التحتية القديمة، وتحسين العمليات، وفرض معايير الأمان”.
ووبخ مجلس الإدارة أيضًا مايكروسوفت لإعلانها في سبتمبر 2023 أنها وجدت السبب الجذري للهجوم. ولكن بعد شهرين، اعترفت لمجلس الإدارة بأنها كانت مخطئة بشأن السبب، ولم تقم بتحديث الإعلان ليعكس عدم الدقة حتى مارس 2024، حسبما ذكر التقرير.
وخلص مجلس CSRB إلى أنه نظرًا لأن أنظمة Microsoft ضرورية للأمن القومي والاقتصاد العالمي، فيجب على الشركة إصلاح نقاط الضعف الأمنية لديها بسرعة وبشكل جوهري.