Η έκθεση του Συμβουλίου Αναθεώρησης της Ασφάλειας στον Κυβερνοχώρο των ΗΠΑ σχετικά με την παραβίαση ασφαλείας που υπέστει η Microsoft στα e-mail της και αποδίδεται στην κινεζική ομάδα hacking “Storm-0558”, επισημαίνει σημαντικά λάθη στις πρακτικές ασφαλείας της εταιρείας, περιγράφοντας μια σειρά από λάθη που μπορούσαν να αποφευχθούν.
Το συμβούλιο, το οποίο αποτελείται από αξιωματούχους από διάφορα κυβερνητικά τμήματα των ΗΠΑ και ηγέτες του κλάδου, επέκρινε τη Microsoft για τα ανεπαρκή μέτρα ασφαλείας της σε σύγκριση με άλλους παρόχους και για τη δημοσίευση ανακριβών δημόσιων δηλώσεων σχετικά με την επίθεση, οι οποίες δεν διορθώθηκαν έγκαιρα.
Η Microsoft αρχικά απέδωσε την παραβίαση σε ένα σφάλμα επικύρωσης στη βάση κωδίκων της, στη συνέχεια ισχυρίστηκε ότι οφειλόταν σε παραβιασμένο λογαριασμό ενός μηχανικού της εταιρείας και σε “ανθρώπινα λάθη” που επέτρεπαν τη χρήση ενός ληγμένου κλειδιού υπογραφής για πλαστογραφήσεις κουπονιών.
Ωστόσο, η έκθεση αποκάλυψε ότι η Microsoft δεν έχει ακόμη καθορίσει την ακριβή αιτία της παραβίασης και ενημέρωσε τις αναρτήσεις που έκανε στην ιστοσελίδα της οι οποιες συζητούσαν το περιστατικό μόνο τον Μάρτιο, μετά από επανειλημμένες έρευνες από το διοικητικό συμβούλιο.
Η αναφορά υπογραμμίζει την ανάγκη για τη Microsoft να βελτιώσει τους μηχανισμούς ασφαλείας της, να δώσει προτεραιότητα στις βελτιώσεις ασφάλειας έναντι νέων χαρακτηριστικών, να λογοδοτήσει για τα αποτελέσματα ασφάλειας των πελατών και να παρέχει εργαλεία για τον εντοπισμό και την πρόληψη μελλοντικών εισβολών. Υπογραμμίζει επίσης τη σημασία των προληπτικών μέτρων, όπως αποδεικνύεται από τον εντοπισμό της παραβίασης από το State Department μέσω προηγμένων συστημάτων προειδοποίησης, προτρέποντας τους οργανισμούς να επενδύσουν σε παρόμοιους μηχανισμούς ασφαλείας για τον μετριασμό μελλοντικών κινδύνων.
