Microsoft had de cyberaanval waarbij Chinese hackers inbraken in de e-mailaccounts van verschillende bedrijven en West-Europese overheden kunnen voorkomen. Dat stelt de Amerikaanse Cyber Safety Review Board in een rapport.
Cybercriminelen uit China drongen via een kwetsbaarheid in de cloudservice van Microsoft binnen bij 22 organisaties, waaronder bedrijven en overheden, meldde Microsoft in juli vorig jaar. De aanvallers gebruikten daarbij een Microsoft-accountconsumerkey. In combinatie met een andere kwetsbaarheid in het authenticatiesysteem van Microsoft gaf die sleutel volledige toegang tot ‘ieder Exchange Online-account, waar dan ook ter wereld’, schrijft de Cyber Safety Review Board, onderdeel van het Amerikaanse ministerie van Homeland Security, in zijn rapport. Hoe de sleutel gestolen werd, is nog altijd niet bekend.
De Cyber Safety Review Board spreekt van een reeks vermijdbare fouten en vindt dat de gehele aanval voorkomen had kunnen worden. «Ook concludeert de Raad dat de beveiligingscultuur van Microsoft ondermaats was en een revisie nodig heeft.» De Cyber Safety Review Board wijst onder meer op de beveiligingspraktijken van Microsoft, die zouden onderdoen aan die van de concurrentie. Ook hekelt de raad het feit dat Microsoft zelf niet inzag dat er een sleutel was gestolen en daarvoor vertrouwde op meldingen van een klant. Verder kon een gecompromitteerde laptop van een werknemer in 2021 verbinding maken met het zakelijk netwerk van Microsoft.
De Cyber Safety Review Board haalt daarnaast aan dat Microsoft lange tijd een verkeerde verklaring over het incident gaf aan het publiek. Het gaat onder meer om een blogpost uit september waarin Microsoft stelt dat de sleutel onderdeel was van een crash dump uit 2021. Die crash dump is echter nooit gevonden. De Cyber Safety Review Board neemt het Microsoft kwalijk dat het bedrijf al in november 2023 tegenover de Raad erkende dat de blogpost niet klopte, maar pas op 12 maart het bericht in kwestie aanpaste, nadat de Review Board hier vragen over stelde.
Microsoft kondigde afgelopen november aan dat het zijn softwarebeveiliging gaat verbeteren, schreef The Verge destijds. De Cyber Safety Review Board vindt echter dat de ceo en raad van bestuur zich direct moeten richten op de beveiligingscultuur van het bedrijf. Ook moeten zij publiekelijk een plan met een specifieke tijdlijn delen om fundamentele, op beveiliging gerichte hervormingen aan te brengen in het hele bedrijf en alle producten.