Microsoft Corp ‘ s hemmelige interne database til at spore fejl i sin egen software var brudt ind i ved en meget sofistikeret hacking gruppen mere end fire år siden, efter at fem tidligere ansatte, i det andet kendt overtrædelse af en sådan koncern database.
Selskabet har ikke oplyse omfanget af de angreb paa den offentlige eller dens kunder efter sin opdagelse i 2013, men de fem tidligere ansatte beskrev det Reuters i særskilte interviews. Microsoft afviste at diskutere hændelsen.
Den database, der er indeholdt beskrivelser af kritiske og ikke optagne sårbarheder i nogle af de mest udbredte software i verden, herunder Windows-operativsystemet. Spioner for regeringer rundt om på kloden og andre hackere begære sådanne oplysninger, fordi det viser dem, hvordan man skaber værktøjer til elektronisk indbrud.
Microsoft fejl blev rettet sandsynligvis inden for få måneder af hack, i henhold til den tidligere ansatte. Alligevel taler ud for første gang, disse tidligere ansatte såvel som AMERIKANSKE embedsmænd informeret om overtrædelse af Reuters sagde, at det foruroliget dem, fordi de kunne hackere har brugt data i gang med at montere angreb andre steder, at sprede deres rækkevidde i regering og virksomhedens netværk.
“Bad guys med inde adgang til de pågældende oplysninger, ville bogstaveligt talt have et “skeleton key” for hundredvis af millioner af computere i hele verden,” sagde Eric Rosenbach, der var OS, deputy assistant secretary of defense for cyber på det tidspunkt.
Virksomheder af alle striber nu er ramping op bestræbelser på at finde og rette fejl i deres software midt i en bølge af skade hacking angreb. Mange virksomheder, herunder Microsoft, betaler sikkerhed forskere og hackere “dusører” for oplysninger om fejl – at øge strømmen af bug data og gøre en indsats for at sikre det materiale, der er mere presserende end nogensinde.
I en e-mail at svare på spørgsmål fra Reuters, Microsoft, sagde: “Vores sikkerhed teams aktivt overvåge cyber trusler til at hjælpe os med at prioritere og træffe passende foranstaltninger for at holde kunder er beskyttet.”
Engang efter at lære af de angreb, Microsoft gik tilbage og kiggede på overtrædelser af andre organisationer rundt om så er, de fem tidligere ansatte sagde. Det fandt ingen beviser for, at de stjålne oplysninger, der havde været brugt i disse overtrædelser.
To nuværende medarbejdere sagde, at virksomheden står ved denne vurdering. Tre tidligere medarbejdere hævde undersøgelsen havde for lidt data til at være afgørende.
Microsoft har strammet op på sikkerheden efter bruddet, at den tidligere ansatte sagde, walling databasen ud fra virksomhedens netværk, og det kræver to godkendelser for at få adgang.
De farer, der er forbundet med, at oplysninger om sådanne sårbarheder i software blevet et anliggende for bred offentlig debat i år, efter en National Security Agency lager af hacking værktøjer blev stjålet, som skal offentliggøres og derefter bruges i den destruktive “WannaCry” angreb på BRITISKE hospitaler og andre faciliteter.
Efter WannaCry, Microsoft Formand Brad Smith i forhold NSA ‘ s tab for at “det AMERIKANSKE militær, der har nogle af sine Tomahawk-missiler stjålet,” og nævner “de skader på civile, der kommer fra hamstring af disse sårbarheder.”
Kun et brud på en stor database fra en software-virksomhed har været offentliggjort. I 2015, den almennyttige Mozilla Foundation, der udvikler sig Firefox web browser – sagde, at en hacker havde fået adgang til en database, der omfattede 10 alvorlige og unpatched fejl. En af disse fejl blev derefter benyttet i et angreb på Firefox-brugere, Mozilla offentliggjort på det tidspunkt.
I modsætning til Microsoft ‘ s strategi, Mozilla givet omfattende detaljer om bruddet og opfordrede sine kunder til at tage handling.
Mozilla Chief Business og Juridisk Officer Denelle Dixon sagde foundation fortalte offentligheden om, hvad det vidste i 2015 “ikke kun informere og hjælpe med at beskytte vores brugere, men også for at hjælpe os selv og andre virksomheder lære, og endelig fordi åbenhed og gennemsigtighed er centrale for vores mission.”
Microsoft spørgsmål skal minde virksomheder til at behandle præcis bug reports, som “nøgler til riget,” sagde Mark Weatherford, der var stedfortræder understatssekretær for cyber-sikkerhed ved det AMERIKANSKE Department of Homeland Security, når Microsoft har lært af brud.
Som Pentagon ‘ s Rosenbach, Weatherford sagde, at han ikke var kendt af Microsoft angreb. Weatherford bemærkes, at de fleste virksomheder har strenge sikkerhedsprocedurer omkring intellektuel ejendomsret og andre følsomme virksomhedsoplysninger.
“Din fejl opbevaringsstedet bør være lige så vigtig,” sagde han.
Alarm breder sig efter intern sonde
Microsoft opdagede database brud i begyndelsen af 2013, efter at en højt kvalificeret hacking gruppen brød ind i computerne på en række af de store tech firmaer, herunder Apple Inc, Facebook Inc, og Twitter, Inc.
Den gruppe, skiftevis kaldes Morpho, Butterfly og Vilde Neutron af sikkerhed forskere andre steder, udnyttede en fejl i Java til at trænge ind i medarbejdernes Apple Macintosh-computere, og derefter flytte til virksomhedens netværk.
Gruppen er stadig aktiv som en af de mest dygtige og mystiske grupper af hackere er kendt for at være i drift, ifølge sikkerhedseksperter. Eksperterne kan ikke blive enige om, hvorvidt det er bakket op af en national regering, endsige som en.
Mere end en uge efter historier om de overtrædelser, der først dukkede op i 2013, har Microsoft udgivet en kort erklæring om, at portrætteret sin egen break-som begrænset og ikke henvist til bug database.
“Som rapporteret af Facebook og Apple kan Microsoft bekræfte, at vi også for nylig oplevet en lignende sikkerhed indbrud,” siger virksomheden på februar 22, 2013.
“Vi har fundet et lille antal computere, herunder nogle i vores Mac business unit, der var inficeret af ondsindet software ved hjælp af teknikker, der er magen til dem, der dokumenteres af andre organisationer. Vi har ingen bevis for kundens data blive ramt, og vores undersøgelse er i gang.”
Inde i virksomheden, alarm sprede sig som embedsmænd indset database til at spore patches var blevet kompromitteret, efter at de fem tidligere security medarbejdere. De sagde, at databasen var dårligt beskyttet, med adgang via lidt mere end en adgangskode.
Bekymring for, at hackere var ved hjælp af stjålne fejl at gennemføre nye angreb bedt Microsoft om at sammenligne timingen af disse overtrædelser med, når de mangler, der var trådt ind i databasen, og når de blev lappet, i henhold til de fem tidligere ansatte.
Disse mennesker sagde, at den undersøgelse, der konkluderede, at selv om fejl i den database, der blev brugt i de efterfølgende hacking angreb, og at gerningsmændene kan have fået information andre steder.
At finde hjulpet begrunde Microsoft ‘ s beslutning om ikke at udlevere den overtrædelse, at den tidligere ansatte sagde, og i mange tilfælde patches, som allerede var blevet udgivet til sine kunder.
Tre af de fem tidligere ansatte Reuters talte med, sagde, at undersøgelsen ikke kunne udelukke stjålet fejl, der har været anvendt i efterfølgende angreb.
“De helt opdaget, at fejl var blevet taget,” sagde den ene. “Uanset om eller ikke de bugs der var i brug, jeg tror ikke, de gjorde et meget grundigt stykke arbejde for at opdage.”
Det er til dels fordi Microsoft har påberåbt sig automatiserede rapporter fra software nedbrud til at fortælle, når angreb begyndte at dukke op. Problemet med denne tilgang, nogle sikkerhedseksperter siger, er, at de fleste avancerede angreb ikke forårsage nedbrud, og de mest målrettede maskiner – som dem med følsom information fra det offentlige – er de mindst tilbøjelige til at tillade automatisk indberetning.
© Thomson Reuters 2017