El Departamento de Seguridad Nacional emitió una revisión condenatoria de Microsoft prácticas de ciberseguridadel martes, culpando al proveedor de la nube por exponer los correos electrónicos de funcionarios gubernamentales de alto rango. La revisión encontró que los piratas informáticos afiliados al estado chino capitalizaron “una cascada de fallos de seguridad en Microsoft”, y dice que la cultura de seguridad de la empresa “requiere una revisión”.
“Es imperativo que los proveedores de servicios en la nube prioricen la seguridad y la incorporen según el diseño”, dijo el presidente de la Junta de Revisión de Seguridad Cibernética, Robert Silvers. en un comunicado de prensa.
El informe cita problemas con la cultura corporativa de Microsoft en torno a la seguridad que llevaron a este ataque. Las cuentas de correo electrónico de la Secretaria de Comercio Gina Raimondo, la El embajador de Estados Unidos en China, R. Nicholas Burns, y el congresista Don Bacon se vieron comprometidos. El actor de amenazas descargó más de 60.000 correos electrónicos del Departamento de Estado solo, según el informe.
La junta dice que esta intrusión era “prevenible y nunca debería haber ocurrido” y que la cultura de seguridad de Microsoft requiere cambios importantes. El informe condenatorio pinta una imagen de un desastre interno detrás de escena en Microsoft. El DHS dice que Microsoft emitió declaraciones públicas inexactas sobre la causa raíz de Este ataque, que según el informe Microsoft aún no ha podido identificar.
Microsoft no respondió de inmediato a la solicitud de comentarios de Gizmodo.
Un grupo de hackers afiliado a la República Popular de China, Storm-0558, fue responsable del ataque. Ya en mayo de 2023, los hackers comprometió los buzones de correo de funcionarios gubernamentales al robar claves de firma y utilizar una falla en el sistema de validación de tokens de Microsoft. Esto permitió a Storm-0558 acceso completo esencialmente a cualquier cuenta de Exchange Online, la plataforma de mensajería alojada de Microsoft.
El 15 de junio, el Departamento de Estado detectó una violación de datos y notificó a Microsoft. En este punto, la Oficina Federal de Investigaciones se involucró, y Microsoft alertó a una organización en el Reino Unido que también había sido afectada por el ataque. El 24 de junio, Microsoft estaba capaz de invalidar la clave robada que estaba usando Storm-0558.
Muchos de los funcionarios gubernamentales afectados por este ataque tienen responsabilidades sustanciales en el mantenimiento de la relación de Estados Unidos con China, por lo que no es así. Parece ser una coincidencia que fueron alcanzados.
La junta del DHS emitió amplias recomendaciones para que Microsoft renueve sus prácticas de seguridad, incluido el llamamiento al director ejecutivo Satya Nadella y a la junta directiva para que informen directamente centrarse en la cultura de seguridad de la empresa. La revisión gubernamental dice que estos riesgos de seguridad deben abordarse adecuadamente antes de implementar nuevas funciones.
