稱這家科技巨頭的「一系列錯誤」讓國家支持的中國網路營運商侵入了包括商務部長吉娜·雷蒙多在內的美國高級官員的電子郵件帳戶。2021 年根據行政命令成立的網路安全審查委員會描述了劣質的網路安全實踐、鬆懈的企業文化以及該公司對有針對性的違規行為缺乏誠意，這些違規行為影響了多個與中國打交道的美國機構。報告的結論是，鑑於微軟在全球技術生態系統中的普遍性和關鍵作用，「微軟的安全文化不夠充分，需要徹底改革」。

微軟產品「支撐著支持國家安全的基本服務、我們的經濟基礎以及

公共衛生和安全。該小組表示，國務院 6 月發現的、可追溯到 5 月的入侵“是可以預防的，根本不應該發生”，並將其成功歸咎於“一系列可避免的錯誤”。

更重要的是，董事會表示，微軟仍然不知道駭客是如何進入的。

該小組提出了全面的建議，包括敦促微軟暫停在其雲端運算環境中添加功能，直到「取得實質的安全性改進」。

報告稱，微軟執行長和董事會應實施“快速文化變革”，包括公開分享“一項具有具體時間表的計劃，以在整個公司及其全套產品中進行根本性的、以安全為重點的改革」。

微軟在聲明中表示，它對委員會的調查表示讚賞，並將「繼續強化我們所有的系統以抵禦攻擊，並實施更強大的感測器和日誌，以幫助我們檢測和擊退對手的網路軍隊。 」

總之，受國家支持的中國駭客闖入了全球22 個組織和500 多人的Microsoft Exchange Online 電子郵件，其中包括美國駐華大使尼古拉斯·伯恩斯(Nicholas Burns)，訪問一些基於雲端的電子郵箱至少六週這份 34 頁的報告稱，僅從國務院下載了約 6 萬封電子郵件。報導稱，三個智庫和四個外國政府實體，包括英國國家網路安全中心，都受到了攻擊。

該委員會於8 月由國土安全部長亞歷杭德羅·馬約卡斯(Alejandro Mayorkas) 召集，指責微軟就該事件發表了不准確的公開聲明，其中包括發表聲明稱，它相信自己已經確定了這次入侵的可能根本原因，但“事實上，它仍然沒有確定”。微軟表示，直到 3 月中旬，在董事會多次詢問是否計劃發布更正後，微軟才更新 9 月發布的這篇誤導性部落格文章。

另外，董事會也對這家位於華盛頓州雷德蒙德的公司1 月份披露的另一起黑客攻擊表示擔憂，該黑客攻擊的電子郵件帳戶包括數量不詳的微軟高級管理人員和數量不詳的微軟客戶的電子郵件帳戶，並歸因於國家支持。

董事會哀嘆“企業文化這降低了企業安全投資和嚴格風險管理的優先順序。

微軟最初在 7 月披露了中國駭客攻擊事件在一篇部落格文章中並由該公司稱為 Storm-0558 的小組進行。該小組指出，該組織至少從2009 年起就一直從事類似的入侵活動，即危害雲端供應商或竊取身分驗證金鑰，以便入侵帳戶，目標包括Google、雅虎、Adobe、陶氏化學和摩根士丹利等公司。

微軟在聲明中指出，所涉及的駭客是「資源充足的民族國家威脅行為者，他們持續行動，沒有有意義的威懾」。

該公司表示，它認識到最近發生的事件“表明有必要在我們自己的網路中採用新的工程安全文化”，並補充說它“動員我們的工程團隊來識別和緩解遺留基礎設施，改進流程並執行安全基準。

© 2024 美聯社。版權所有。未經許可，不得出版、廣播、重寫或重新散佈本資料。