Microsoft Corp ‘ s secret intern databas för att spåra fel i sin egna mjukvara har brutit sig in genom ett mycket avancerat dataintrång gruppen mer än fyra år sedan, enligt fem före detta anställda, endast i den andra kända brott av sådan företagets databas.
Företaget vill inte avslöja omfattningen av attacken till allmänheten eller dess kunder efter dess upptäckt i 2013, men fem före detta anställda beskrev det till Reuters i separata intervjuer. Microsoft har avböjt att diskutera händelsen.
Databasen innehöll beskrivningar av kritiska och lösa säkerhetsproblem i några av de mest använda programvara i världen, inklusive Windows-operativsystemet. Spioner för regeringar runt om i världen och andra hackare begär sådan information, eftersom det visar dem hur man skapar verktyg för elektronisk inbrott.
Microsoft brister har åtgärdats sannolikt inom några månader av hacka, enligt tidigare anställda. Ändå talar ut för första gången, dessa före detta anställda samt AMERIKANSKA tjänstemän informerade om överträdelse av Reuters sade att det oroade dem eftersom hackare kunde ha använt data på den tiden till mount attacker på andra håll, att sprida sina nå in i regeringen och företagens nätverk.
“Bad guys med inne tillgång till denna information skulle bokstavligen ha en “skeleton key” för hundratals miljoner datorer runt om i världen,” sade Eric Rosenbach, som var USA: s vice biträdande försvarsministern för cyber på den tiden.
Företag av alla slag nu trappar upp sina ansträngningar för att hitta och rätta fel i sina program mitt i en våg av skada för hackare. Många företag, däribland Microsoft, betal-säkerhet forskare och hackare “skottpengar” för information om brister – att öka flödet av fel data och göra insatser för att få materialet mer angeläget än någonsin.
I ett e-postmeddelande svara på frågor från Reuters, Microsoft sade: “Vårt säkerhetsteam aktivt övervaka it-relaterade hot för att hjälpa oss att prioritera och att vidta lämpliga åtgärder för att behålla kunder skyddas.”
Någon gång efter att lära av attack, Microsoft gick tillbaka och tittade på kränkningar av andra organisationer runt om då, de fem tidigare anställda sade. Det finns inga bevis för att stulna informationen hade använts i dessa överträdelser.
Två nuvarande anställda sade att bolaget står fast vid denna bedömning. Tre av de tidigare anställda hävda studien hade alltför lite data att vara avgörande.
Microsoft skärpt säkerhet efter den strid, tidigare anställda sade, inmurning databasen off från företagets nätverk och kräver två-autentisering för åtkomst.
De faror som är förknippade med information om sådana sårbarheter i mjukvara och blev en fråga av en bred offentlig debatt i år, efter en National Security Agency lager av hacking verktyg stals, publiceras och sedan används i den destruktiva “WannaCry” attacker mot BRITTISKA sjukhus och andra anläggningar.
Efter WannaCry, Microsoft Ordförande Brad Smith jämfört NSA: s förlust till “den AMERIKANSKA militären för att ha en del av sin Tomahawk-missiler stjäls,” och citerade “skador på civila som kommer från hamstring dessa sårbarheter.”
Endast en överträdelse av en stor databas från ett mjukvaruföretag som har lämnats ut. I och med 2015, den ideella Mozilla Foundation – som utvecklar Firefox webbläsare – sade en angripare hade fått tillgång till en databas som ingår 10 allvarlig och okorrigerad brister. En av de brister som då var belånade i en attack på Firefox-användare, Mozilla lämnas ut på tiden.
I motsats till Microsofts strategi, Mozilla förutsatt att omfattande uppgifter om brott och uppmanade sina kunder att vidta åtgärder.
Mozilla Chief Business och Juridisk Handläggare Denelle sade Dixon stiftelsen berättade för allmänheten om vad den visste 2015 “inte bara att informera och hjälpa till att skydda våra användare, men också för att hjälpa oss själva och andra företag lära, och slutligen därför att öppenhet och transparens är centrala i vårt uppdrag.”
Microsoft fråga bör påminna företag att behandla korrekt felrapporter som “nycklar till kungariket”, säger Mark Weatherford, som var biträdande avdelningschef för it-säkerhet på US Department of Homeland Security när Microsoft lärt sig av överträdelsen.
Som Pentagons Rosenbach, Weatherford sade att han inte hade känt av Microsoft attack. Weatherford noteras att de flesta företag har strikta säkerhetsrutiner kring immateriella rättigheter och annan känslig information.
“Ditt fel arkivet bör vara lika viktiga”, sa han.
Larm sprider sig efter interna probe
Upptäckte Microsoft-databas brott i början av 2013 efter en mycket skicklig hacka grupp bröt sig in i datorer på ett antal stora företag, inklusive Apple Inc, Facebook Inc, och Twitter Inc.
Gruppen, som omväxlande kallas Morpho, Fjäril och Vilda Neutron av trygghet forskare på andra håll, som utnyttjade en svaghet i programmeringsspråket Java för att tränga in i de anställdas datorer i Apples Macintosh-datorer och sedan flytta till företagets nätverk.
Gruppen är fortfarande aktiv som en av de mest kompetenta och mystiska hacka grupper kända för att vara i drift, enligt säkerhetsforskare. Experter inte kan komma överens om huruvida det backas upp av en nationell regering, tala om vilken.
Mer än en vecka efter berättelser om brott för första gången i 2013, Microsoft publicerade ett kort uttalande som framställde sin egen bryta-i så begränsad och gjorde ingen hänvisning till felet databasen.
“Som rapporteras av Facebook och Apple kan Microsoft bekräfta att vi också nyligen upplevt en liknande säkerhet intrång,” sade företaget att den februari 22, 2013.
“Vi hittade ett litet antal datorer, inklusive några i våra Mac-affärsenhet, som var infekterade av skadlig programvara genom att använda metoder som liknar de som dokumenterats av andra organisationer. Vi har inga belägg för att kundens data påverkas, och vår utredning pågår.”
Inom företaget, larm spridning som tjänstemän insåg databas för att spåra fläckar hade äventyrats, enligt tidigare fem säkerhet anställda. De sa att databasen var dåligt skyddade, med tillgång möjligt via lite mer än ett lösenord.
Oro för att hackare använde stulna fel att göra nya attacker ledde till att Microsoft för att jämföra tidpunkten för de överträdelser och med när de brister som hade kommit in i databasen och när de lagas, enligt de fem före detta anställda.
Dessa människor säger slutsatsen i studien är att även om fel i den databas som användes i efterföljande hacking attacker förövarna kunde ha fått någon annanstans.
Att hitta hjälpte till att motivera Microsofts beslut att inte avslöja brott mot, de tidigare anställda sade, och i många fall fläckar redan hade släppts till sina kunder.
Tre av de fem tidigare anställda Reuters talade med sa att studien inte kunde utesluta stulna fel att ha använts i efterföljande attacker.
“De absolut upptäckte att fel hade vidtagits”, sade en. “Om inte dessa fel var i bruk, jag tror inte att de gjorde ett mycket grundligt arbete med att upptäcka.”
Detta beror delvis på att Microsoft har förlitat sig på automatiserade rapporter från programkrascher att berätta när attackerna började visa upp. Problemet med detta synsätt, vissa säkerhets-experter säger, är att de flesta attackerna inte orsakar kraschar, och den mest riktade maskiner – som de med känslig regeringen information – det är minst sannolikt att tillåta automatisk rapportering.
© Thomson Reuters 2017