Microsoft обвинили в «вопиющем пренебрежении» кибербезопасностью

Генеральный директор ИБ-компании Tenable Амит Йоран (Amit Yoran) предал огласке инцидент, иллюстрирующий, что отношение Microsoft к кибербезопасности «ещё хуже, чем вы думаете» — компания пренебрегает вопросами защиты данных и неоправданно затягивает исправление собственных ошибок.

Последний связанный с кибербезопасностью крупный инцидент у Microsoft имел место 12 июля, когда китайская хакерская группировка Storm-0558 произвела взлом облачной платформы Azure — атака затронула около 25 организаций и привела к краже конфиденциальной переписки правительственных чиновников США. По версии эксперта, Microsoft систематически демонстрирует пренебрежение к вопросу защиты данных: Tenable удалось обнаружить ещё одну уязвимость инфраструктуры Azure, и софтверному гиганту потребовалось слишком много времени, чтобы её устранить.

Ошибка была обнаружена в марте — она открывала потенциальным злоумышленникам доступ к конфиденциальным данным, включая ресурсы одного из банков. Tenable уведомила Microsoft об уязвимости, но последней потребовалось «более 90 дней, чтобы развернуть частичное исправление», которое, впрочем, применяется только к «новым приложениям, загружаемым службой». Оказавшиеся под угрозой организации, включая тот самый банк, «которые запустили сервис до выхода исправления», всё ещё подвержены уязвимости и о риске, вероятно, не осведомлены.

Microsoft планирует окончательно решить проблему к концу сентября, что эксперт характеризует как «крайнюю безответственность, если не вопиющее пренебрежение». К тому же, по информации Google Project Zero, 42,5 % всех обнаруженных с 2014 года уязвимостей нулевого дня приходятся на продукты Microsoft. Недавно компания Wiz сообщила, что у взлома Azure могут быть более серьёзные последствия, чем считалось первоначально, но в Microsoft её выводы отвергли.

Тем временем на критику Йорана отреагировал старший директор Microsoft Джефф Джонс (Jeff Jones). «Мы ценим сотрудничество с сообществом [кибер]безопасности по ответственному раскрытию проблем с продуктами. Мы следуем обширной процедуре, включающей тщательное расследование, разработку обновлений для всех версий затронутых продуктов и тестирование совместимости с другими операционными системами и приложениями. В конечном счёте, разработка обновления безопасности — это тонкий баланс между своевременностью и качеством при максимальной защите клиентов и минимальных помехах для них», — приводит The Verge заявление топ-менеджера.