реклама
Новости Software

Microsoft могла бы помешать китайским хакерам взломать почту правительства США в прошлом году

Компания Microsoft могла бы предотвратить прошлогоднюю хакерскую атаку на свои сервисы, в рамках которой злоумышленникам удалось получить доступ к содержимому почтовых ящиков госслужащих США, в том числе работающих в сфере национальной безопасности. Об этом сказано в опубликованном на этой неделе докладе Совета по оценке кибербезопасности (CSRB) США, входящего в состав Министерства внутренней безопасности (DHS).

 Источник изображения: Franz Bachinger / pixabay.com

Источник изображения: Franz Bachinger / pixabay.com

Речь идёт об инциденте, который описывался как «каскад сбоев в системе безопасности» Microsoft и позволил предположительно китайским правительственным хакерам получить доступ к электронным почтовым ящикам сотрудников 22 государственных организаций. В общей сложности инцидент затронул более 500 госслужащих. В сообщении CSRB сказано, что взлом можно было «предотвратить», а ряд принимаемых внутри Microsoft решений способствовал формированию «корпоративной культуры, не придающей приоритетного внимания инвестированию в корпоративную безопасности и принятию жёстких мер по снижению рисков».

В ходе той атаки злоумышленники задействовали ключ подписи потребительских аккаунтов Microsoft для генерации поддельных токенов, открывающих доступ к аккаунтам в веб-версии почтового сервиса Outlook (OWA) и Outlook.com. В отчёте CSRB сказано, что Microsoft до сих пор точно не установила, как именно хакерам удалось украсть ключ подписи аккаунтов. По одной из версий, он являлся частью аварийного дампа, но специалисты так и не смогли его найти. Не имея доступа к этому дампу Microsoft не может точно установить, как именно был похищен ключ.

«Наша основная гипотеза заключается в том, что в результате операционных ошибок ключ покинул защищённую среду подписания токенов, и позднее к нему был получен доступ в среде отладки через взломанную учётную запись инженера», — говорится в сообщении Microsoft.

«Совет считает, что это вторжение можно было предотвратить и оно не должно было произойти. Совет также пришёл к выводу, что культура безопасности Microsoft не отвечает современным требованиям и требует пересмотра, особенно в свете центральной роли компании в технологической экосистеме и уровня доверия клиентов к компании в плане защиты своих данных и операций», — сказано в заявлении CSRB.

По данным источника, Microsoft работает над пересмотром системы безопасности в своём программном обеспечении, и эта деятельность началась вскоре после инцидента со взломом почтовых ящиков правительственных чиновников в прошлом году. Новая инициатива Microsoft Secure Future Initiative (SFI) призвана полностью изменить методы проектирования, сборки, тестирования и эксплуатации своего программного обеспечения и услуг.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Минюст США обвинил TikTok в незаконном сборе информации о взглядах американцев и цензуре контента по указаниям из Пекина 2 ч.
Анонсы от авторов Mortal Kombat 1: сюжетное дополнение Khaos Reigns, подвох с Kombat Pack 2 и возвращение анималити 4 ч.
Криптовалюты вернулись к росту, но Ethereum всё равно подешевел по итогам недели 4 ч.
Теперь в TikTok можно находить песни, просто напевая их 5 ч.
Смартфоны Google Pixel 9 смогут добавлять пользователя на фото, где его изначально не было 6 ч.
Дешёвые сканеры штрихкодов помогли в кратчайшие сроки восстановить пострадавшие от CrowdStrike компьютеры 16 ч.
Новая статья: Flintlock: The Siege of Dawn — хорошие идеи в неудачной обёртке. Рецензия 16 ч.
Анонсирован китайский ролевой детектив Kill the Shadow, напоминающий смесь Disco Elysium и The Last Night 17 ч.
Соцсеть X начала без уведомления использовать данные пользователей для обучения Grok 18 ч.
Mirthwood получила новый трейлер и дату выхода — это ролевой симулятор жизни в фэнтезийном мире, вдохновлённый Fable, Stardew Valley и The Sims 19 ч.
Учёные впервые увидели подноготную гамма-всплеска — распознали его спектральные линии 26 мин.
Возвращение застрявших на МКС астронавтов с Boeing Starliner могут поручить SpaceX 2 ч.
Синий свет от экрана смартфона пагубно влияет на кожу, выяснили учёные 2 ч.
Infinix GT 20 Pro стал официальным смартфоном крупнейшего мирового чемпионата – PUBG Mobile World Cup 2 ч.
Определение планеты скоро снова могут поменять, но Плутон этот статус всё равно не вернёт 4 ч.
Colorful представила оперативную память iGame Jiachen Zhilong DDR5 в стиле китайского года дракона 4 ч.
«Уэбб» нашёл недалеко от Земли ещё один мир с потенциальным подповерхностным океаном — Ариэль, спутник Урана 4 ч.
Аргоннская национальная лаборатория намерена создать СХД ёмкостью 400 Пбайт за $20 млн 6 ч.
InfoWatch представила межсетевые экраны «ARMA Стена» с производительностью до 10 Гбит/с 6 ч.
Первый в истории частный выход в открытый космос отложили на конец августа 6 ч.