Microsoft Corp ‘ s secret intern database for å spore bugs i sin egen programvare ble brutt seg inn med en meget avansert hacking gruppen mer enn fire år siden, i henhold til fem tidligere ansatte, i den andre kjente brudd på en slik en bedrifts database.
Selskapet har ikke avsløre omfanget av angrepet til det offentlige eller til sine kunder etter at de ble oppdaget i 2013, men de fem tidligere ansatte beskrev det til Reuters i separate intervjuer. Microsoft nektet å diskutere hendelsen.
Databasen inneholdt beskrivelser av kritiske og ikke-fikserte sårbarheter i noen av de mest brukte programvaren i verden, inkludert Windows-operativsystemet. Spioner for regjeringer over hele verden og andre hackere begjære slik informasjon, fordi den viser dem hvordan å opprette verktøy for elektroniske innbrudd.
Microsoft feil ble fikset sannsynlig i løpet av måneder til hack, i henhold til de tidligere ansatte. Likevel snakker ut for første gang, disse tidligere ansatte så vel som AMERIKANSKE tjenestemenn informert om brudd Reuters sa det skremt dem fordi hackere kunne ha brukt data på tide å montere angrep andre steder, for å spre deres nå inn i regjeringen og bedriftsnettverk.
“Skurkene med innsiden tilgang til denne informasjonen, ville bokstavelig talt har en “skeleton key” for hundrevis av millioner av datamaskiner over hele verden,” sa Eric Rosenbach, som var OSS deputy assistant secretary of defense for cyber på den tiden.
Selskaper av alle slag nå er trapper opp innsatsen for å finne og fikse bugs i programvaren under en bølge av skade hacking angrep. Mange firmaer, inkludert Microsoft, betal-sikkerhetseksperter og hackere “skuddpremie” for informasjon om feil økende flyten av feil data og gjøre tiltak for å sikre materialet mer presserende enn noen gang.
I en e-post svare på spørsmål fra Reuters, Microsoft sa: “Vår sikkerhets-team aktivt overvåke cyber trusler om å hjelpe oss å prioritere og iverksette nødvendige tiltak for å beholde kunder som er beskyttet.”
En gang etter å ha lært av angrepet, Microsoft gikk tilbake og så på brudd av andre organisasjoner rundt da, de fem ex-ansatte sa. Det finnes ingen bevis for at den stjålne informasjonen hadde blitt brukt i slike brudd.
To nåværende ansatte sa selskapet står ved den vurderingen. Tre av de tidligere ansatte hevde studien hadde for lite data til å være avgjørende.
Microsoft strammet opp sikkerheten etter bruddet, tidligere ansatte sa, walling databasen av fra bedriftens nettverk og krever to pålitelighetskontroller for å få tilgang.
Farene som utgjøres av informasjon om slike sårbarheter i programvaren ble en sak av en bred offentlig debatt dette året, etter en National Security Agency beredskapslager av verktøyene som ble stjålet, publisert og deretter brukt i den destruktive “WannaCry” angrep mot BRITISKE sykehus og andre fasiliteter.
Etter WannaCry, Microsoft President Brad Smith i forhold nsas tap til “den AMERIKANSKE militære har noen av sine Tomahawk-missiler stjålet”, og siterte “skade på sivile som kommer fra hamstring disse sikkerhetsproblemene.”
Bare ett brudd på en stor database fra en programvare selskapet, har blitt avslørt. I 2015, nonprofit Mozilla Foundation – som utvikler Firefox nettleser – sa en angriper hadde fått tilgang til en database som inkluderte 10 alvorlig og ikke oppdaterte feil. En av disse feilene ble deretter hentet ut i et angrep på brukere av Firefox, Mozilla offentliggjort på den tiden.
I motsetning til Microsofts tilnærming, Mozilla gitt omfattende detaljer om brudd og oppfordret sine kunder til å ta affære.
Mozilla-Sjef Bedrift og Saksbehandler Denelle Dixon sa grunnlaget fortalte publikum om hva det visste i 2015 “ikke bare informere og bidra til å beskytte brukerne våre, men også for å hjelpe oss selv og andre selskaper lære, og endelig fordi åpenhet og innsyn er sentrale for vår misjon.”
Microsoft saken bør minne selskaper til å behandle nøyaktige feilrapporter som “nøklene til riket,” sa Mark Weatherford, som var assisterende statssekretær for cyber-sikkerhet i det AMERIKANSKE Department of Homeland Security når Microsoft lært av brudd.
Som Pentagon er Rosenbach, Weatherford sa han ikke hadde kjent av Microsoft angrep. Weatherford bemerket at de fleste selskapene har strenge sikkerhetsrutiner rundt åndsverk og annen sensitiv informasjon.
“Feil depotet bør være like viktig,” sa han.
Alarm sprer seg etter interne probe
Microsoft oppdaget database brudd i begynnelsen av 2013 etter en svært dyktig hacking gruppen brøt seg inn i datamaskiner på en rekke store tech selskaper, inkludert Apple Inc, Facebook Inc, og Twitter Inc.
Konsernet, blant annet som kalles Morpho, Butterfly og Wild Nøytron av sikkerheten forskere andre steder, utnyttet en feil i Java programmeringsspråk å trenge ansattes Apple Macintosh-datamaskiner, og deretter flytte til bedriftens nettverk.
Gruppen er fortsatt aktiv som en av de mest dyktige og mystiske hacking grupper som er kjent for å være i drift, ifølge sikkerhetseksperter. Eksperter kan ikke bli enige om hvorvidt det er støttet av en nasjonal regjering, la alene som en.
Mer enn en uke etter historier om brudd dukket først opp i 2013, Microsoft publisert en kort uttalelse som skildret sin egen break-in som begrenset, og gjorde ingen referanse til bug database.
“Anmeldt av Facebook og Apple, Microsoft kan bekrefte at vi også nylig opplevd en lignende sikkerhetstrusler,” company sa på februar 22, 2013.
“Vi fant et lite antall datamaskiner, inkludert noen i vår Mac business unit, som var infisert av skadelig programvare ved hjelp av teknikker som ligner de som er dokumentert av flere andre organisasjoner. Vi har ingen dokumentasjon av kundedata blir påvirket, og vår undersøkelse er pågående.”
Inne i selskapet, alarm spre seg som funksjonærer realisert database for sporing patcher hadde blitt kompromittert, i henhold til de fem tidligere security ansatte. De sa at databasen var dårlig beskyttet, med adgang via litt mer enn et passord.
Bekymringer for at hackere brukte stjålet bugs til å gjennomføre nye angrep bedt om Microsoft for å sammenligne timing av de brudd med når feilene hadde gått inn i databasen, og når de ble lappet, i henhold til de fem tidligere ansatte.
Disse menneskene sa studien konkluderte med at selv om feil i databasen som ble brukt i påfølgende hacking angrep, gjerningsmennene kan ha fått informasjon andre steder.
At det å finne hjalp rettferdiggjøre Microsofts beslutning om ikke å offentliggjøre bruddet, tidligere ansatte sa, og i mange tilfeller flekker allerede hadde blitt lansert til sine kunder.
Tre av de fem tidligere ansatte Reuters snakket med sa at studien ikke kunne utelukke stjålet bugs har blitt brukt i påfølgende angrep.
“De absolutt oppdaget at feil hadde blitt tatt,” sa en. “Hvorvidt eller ikke de feil som var i bruk, tror jeg ikke de har gjort en svært grundig jobb med å oppdage.”
Det er delvis fordi Microsoft lettelse opp på automatiserte rapporter fra programvare krasjer å fortelle når angrepene begynte å dukke opp. Problemet med denne tilnærmingen, noen sikkerhet eksperter sier, er det mest sofistikerte angrep ikke forårsake krasj, og de mest målrettede maskiner – for eksempel de med sensitive offentlig informasjon – er det minst sannsynlig å tillate automatisert rapportering.
© Thomson Reuters 2017