Amerikaans rapport: Microsoft heeft mogelijk e-mailhacking door Chinezen voorkomen – Computer – Nieuws

Microsoft wist de cyberaanval te voorkomen waarbij Chinese hackers inbraken in de e-mailaccounts van verschillende West-Europese bedrijven en overheden. Dat stelt de Amerikaanse Cybersecurity Review Board in een rapport.

Cybercriminelen uit China zijn 22 organisaties binnengedrongen, waaronder bedrijven en overheden, via een kwetsbaarheid in de clouddienst van Microsoft, meldde Microsoft in juli vorig jaar. De aanvallers gebruikten een consumentensleutel van een Microsoft-account. Gecombineerd met een andere kwetsbaarheid in het authenticatiesysteem van Microsoft, gaf die sleutel volledige toegang tot “elke Exchange Online-account, waar ook ter wereld”, schreef de Cybersecurity Review Board, onderdeel van het Department of Homeland Security, in haar rapport. Het is nog onbekend hoe de sleutel is gestolen.

De Cyber ​​Security Review Board spreekt over een aantal vermijdbare fouten en is van mening dat de hele aanval voorkomen had kunnen worden. “Het bestuur concludeert ook dat de beveiligingscultuur van Microsoft tekortschoot en herziening behoeft.” De Cybersecurity Review Board merkt onder meer op dat de beveiligingspraktijken van Microsoft inferieur zijn aan die van de concurrentie. Ook heeft de raad kritiek op het feit dat Microsoft zelf de diefstal van een sleutel niet heeft opgemerkt en zich heeft gebaseerd op meldingen van een klant. Bovendien kon een gecompromitteerde werknemerslaptop in 2021 verbinding maken met het bedrijfsnetwerk van Microsoft.

Ook de Cyber ​​Security Review Board merkt op dat Microsoft het publiek lange tijd een onjuiste verklaring over het incident heeft gegeven. Dit omvat een blogpost uit september waarin Microsoft beweert dat de sleutel deel uitmaakte van een noodstorting vanaf 2021. Die kerndump is echter nooit gevonden. De Cybersecurity Review Board verwijt Microsoft dat het bedrijf in november 2023 tegenover de Raad heeft erkend dat de blogpost onjuist was, maar het betreffende bericht pas op 12 maart heeft aangepast, nadat de Board Review Board er vragen over had gesteld.

Microsoft maakte afgelopen november bekend de beveiliging van zijn software te verbeteren, schreef The Verge destijds. De Cybersecurity Review Board is echter van mening dat de CEO en de raad van bestuur zich volledig moeten richten op de beveiligingscultuur van het bedrijf. Ze moeten ook publiekelijk een plan delen met een specifiek tijdschema voor het doorvoeren van fundamentele, op veiligheid gerichte hervormingen in het hele bedrijf en in alle producten.