拜登行政當局任命的網路安全審查委員會(Cyber Safety Review Board)週二(4月2日)發表了一份報告,嚴厲批評微軟公司(Microsoft)的安全和透明度,稱這家科技公司的“一系列錯誤”讓中國國家支持的網路營運商侵入了包括商務部長吉娜·雷蒙多(Gina Raimondo)在內的美國高級官員的電子郵件帳戶。
該委員會於2021年根據行政命令成立,它在報告中描述了劣質的網路安全做法、鬆懈的企業文化,以及該公司在有針對性的入侵問題上不盡誠實,這些入侵影響了多個與中國打交道的美國聯邦機構。
報告的結論是,鑑於微軟在全球技術生態系統中的普遍性和關鍵作用,“微軟的安全文化不夠充分,必須徹底改革”。微軟產品“支撐著支持國家安全、我們經濟基礎以及公共健康和安全的基本服務。”
該委員會表示,美國國務院去年6月發現的、可追溯至去年5月的這次入侵“是可以預防的,根本不應該發生”,並將其駭客入侵得逞歸咎於“一系列可以避免的錯誤”。委員會表示,更嚴重的是,微軟仍然不知道駭客是如何進入的。
該委員會提出了廣泛的建議,包括敦促微軟暫停在其雲端運算環境中添加功能,直到”做出實質的安全改進“。
報告稱,微軟執行長和董事會應實施“快速文化變革”,包括公開分享“一項具有具體時間表的計劃,以便在整個公司及其全套產品中進行根本性的、以安全為重點的改革”。
微軟在聲明中表示,它對該委員會的調查表示讚賞,並將“繼續強化我們所有的系統以抵禦攻擊,並設置更強大的感測器和日誌,以幫助我們偵測和擊退對手的網絡大軍。”
這份34頁的報告稱,受中國國家支持的駭客總共侵入了全球22個組織和500多人的Microsoft Exchange Online電子郵件,其中包括美國駐華大使尼古拉斯·伯恩斯(Nicholas Burns)的郵件,他們訪問了一些基於雲端的電子郵箱至少六週,僅從美國國務院下載了約6萬封電子郵件。報告稱,三個智庫和外國政府實體,包括一些英國的組織,都遭到了入侵。
國土安全部長亞歷杭德羅·馬約卡斯(Alejandro Mayorkas)去年8月召集了委員會。該委員會指責微軟就駭客入侵事件發表了不準確的公開聲明-包括發表聲明稱相信公司已經確定了入侵的可能根本原因,但「事實上,它還沒有確定。」該委員會表示,直到3月中旬,在該委員會多次詢問是否計劃發布更正後,微軟才更正了去年9月發布的這篇具有誤導性的部落格文章。
另外,該委員會還對這家位於華盛頓州雷德蒙德的公司1月份披露的另一起黑客攻擊事件表示了關切,該黑客攻擊的電子郵件帳戶包括數量不詳的微軟高級管理人員和數量不詳的微軟客戶的電子郵件帳戶,攻擊者為俄羅斯國家支持的駭客。
委員會對微軟“既不重視企業安全投資也不重視嚴格風險管理的企業文化”表示遺憾。
這次中國駭客攻擊最初由微軟於去年7月在一篇部落格文章中披露,稱攻擊由該公司稱為Storm-0558(風暴-0588)的組織實施。網路安全審查委員會指出,該組織至少從2009年起就一直從事類似的入侵活動——攻擊雲端供應商或竊取身分驗證金鑰以侵入用戶帳號,目標包括Google(Google)、雅虎(Yahoo)、奧多比(Adobe)、陶氏化學(Dow Chemical)和摩根士丹利(Morgan Stanley)等公司。
微軟在聲明中指出,相關駭客是“資源充足的民族國家威脅行為體,他們持續行動而沒有受到有意義的遏制”。
該公司表示,它認識到最近發生的事件“表明需要在我們自己的網路中採用一種新的工程安全文化”,並補充說這一事件“推動我們的工程團隊來識別和消除老舊基礎設施,改進流程並執行安全基準。”
(本文依據了美聯社的報導。)