di Alexandre Milli, 4 maggio 2024, 08:00 4 maggio 2024, 08:00
Microsoft è sotto esame del governo americano per una violazione della privacy nel trattamento dei dati dei minori.
4 MAGGIO 2024 | Ad un mese dal duro rapporto del governo americano, in una lettera al personale Nadella in persona richiama tutti i dipendenti all’ordine per dare priorità alla sicurezza su tutte le altre mansioni all’interno dell’azienda.
Oggi voglio parlare di un aspetto fondamentale per il futuro della nostra azienda: dare priorità alla sicurezza sopra ogni altra cosa.
Microsoft si basa sulla fiducia e il nostro successo dipende dal guadagnarla e mantenerla. Abbiamo l’opportunità e la responsabilità uniche di costruire la piattaforma più sicura e affidabile su cui il mondo innova.
I recenti risultati del Cyber Safety Review Board (CSRB) del Dipartimento per la sicurezza interna in merito all’attacco informatico Storm-0558, dell’estate 2023, sottolineano la gravità delle minacce che la nostra azienda e i nostri clienti devono affrontare, nonché la nostra responsabilità di difenderci da queste minacce sempre più numerose. attori di minacce sofisticate.
Lo scorso novembre abbiamo lanciato la nostra Secure Future Initiative (SFI) con questa responsabilità in mente, riunendo tutte le parti dell’azienda per migliorare la protezione della sicurezza informatica sia sui nuovi prodotti che sulle infrastrutture legacy. Sono orgoglioso di questa iniziativa e grato per il lavoro svolto per realizzarla. Ma dobbiamo e faremo di più.
In futuro, impegneremo l’intera nostra organizzazione a favore di SFI, poiché raddoppieremo questa iniziativa con un approccio fondato su tre principi fondamentali:
- Secure by Design: la sicurezza viene prima di tutto quando si progetta qualsiasi prodotto o servizio.
- Sicuro per impostazione predefinita: le protezioni di sicurezza sono abilitate e applicate per impostazione predefinita, non richiedono sforzi aggiuntivi e non sono facoltative.
- Operazioni sicure: i controlli e il monitoraggio della sicurezza verranno continuamente migliorati per far fronte alle minacce attuali e future.
Questi principi governeranno ogni aspetto dei nostri pilastri SFI mentre noi: proteggiamo identità e segreti, proteggiamo gli inquilini e isoliamo i sistemi di produzione, proteggiamo le reti , proteggiamo i sistemi di ingegneria, monitoriamo e rileviamo le minacce e acceleriamo la risposta e la riparazione. Abbiamo condiviso azioni specifiche a livello aziendale che ciascuno di questi pilastri comporterà, comprese quelle raccomandate nel rapporto del CSRB, di cui puoi trovare informazioni qui . In Microsoft, ci mobiliteremo per implementare e rendere operativi questi standard, linee guida e requisiti e questa sarà una dimensione aggiuntiva delle nostre decisioni in materia di assunzioni e premi. Inoltre, infonderemo responsabilità basando parte della retribuzione del gruppo dirigente senior sui nostri progressi nel raggiungimento dei nostri piani e traguardi di sicurezza.
Dobbiamo affrontare questa sfida con rigore sia tecnico che operativo e concentrandoci sul miglioramento continuo. Ogni attività che svolgiamo, da una riga di codice a un processo per un cliente o un partner, è un’opportunità per contribuire a rafforzare la nostra sicurezza e quella del nostro intero ecosistema. Ciò include imparare dai nostri avversari e la crescente sofisticazione delle loro capacità, come abbiamo fatto con Midnight Blizzard. E imparando dai trilioni di segnali unici che monitoriamo costantemente per rafforzare la nostra postura generale. Comprende anche una collaborazione più forte e più strutturata tra il settore pubblico e quello privato.
La sicurezza è uno sport di squadra e accelerare SFI non è solo il lavoro numero uno per i nostri team di sicurezza: è la massima priorità di tutti e la più grande esigenza dei nostri clienti.
Se ti trovi di fronte al compromesso tra la sicurezza e un’altra priorità, la tua risposta è chiara: fai sicurezza . In alcuni casi, ciò significherà dare priorità alla sicurezza rispetto ad altre cose che facciamo, come il rilascio di nuove funzionalità o la fornitura di supporto continuo per i sistemi legacy. Questa è la chiave per migliorare sia la qualità che le capacità della nostra piattaforma in modo da poter proteggere il patrimonio digitale dei nostri clienti e costruire un mondo più sicuro per tutti.
Satya
4 APRILE 2024 | Dopo l’analisi Microsoft, arriva il rapporto del Cyber Safety Review Board del dipartimento di sicurezza americano, che indica come l’attacco fosse prevedibile e Microsoft avrebbe dovuto fare di più per impedirlo. Per tanto il CSRB ha concluso che i sistemi di sicurezza Microsoft richiedono una revisione, che l’azienda ha già provveduto ad apportare nei mesi scorsi.
Il Consiglio ritiene che questa intrusione fosse prevenibile e non avrebbe mai dovuto verificarsi. Il Consiglio conclude inoltre che la cultura della sicurezza di Microsoft era inadeguata e richiede una revisione, soprattutto alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i propri dati e le proprie operazioni.
7 SETTEMBRE 2023 | Dopo essere stata messa sotto indagine dal governo americano, Microsoft ha pubblicato i risultati della propria analisi interna sull’accaduto spiegando come gli hacker hanno rubato una chiave di autenticazione da un crash dump, operazione non più possibile dopo aver rafforzato i sistemi di protezione – trovate maggiori dettagli a questo indirizzo.
Microsoft ha eseguito un’indagine tecnica completa sull’acquisizione della chiave di firma consumer dell’account Microsoft, compreso il modo in cui veniva utilizzata per accedere alla posta elettronica aziendale. La nostra indagine tecnica si è conclusa. Nell’ambito del nostro impegno per la trasparenza e la fiducia, pubblichiamo i risultati delle nostre indagini.
La nostra indagine ha rilevato che un arresto anomalo del sistema di firma del consumatore nell’aprile del 2021 ha prodotto un’istantanea del processo bloccato (“crash dump”). I crash dump, che oscurano informazioni sensibili, non dovrebbero includere la chiave di firma. In questo caso, una condizione di competizione ha permesso alla chiave di essere presente nel crash dump (questo problema è stato corretto). La presenza del materiale chiave nel crash dump non è stata rilevata dai nostri sistemi (questo problema è stato corretto).
Abbiamo scoperto che questo crash dump, che all’epoca si riteneva non contenesse materiale chiave, è stato successivamente spostato dalla rete di produzione isolata al nostro ambiente di debug sulla rete aziendale connessa a Internet. Ciò è coerente con i nostri processi di debug standard. I nostri metodi di scansione delle credenziali non ne hanno rilevato la presenza (questo problema è stato corretto).
Dopo l’aprile 2021, quando la chiave è trapelata nell’ambiente aziendale nel crash dump, l’attore di Storm-0558 è riuscito a compromettere con successo l’account aziendale di un ingegnere Microsoft. Questo account aveva accesso all’ambiente di debug contenente il dump del crash che conteneva erroneamente la chiave. A causa delle politiche di conservazione dei log, non disponiamo di log con prove specifiche di questa esfiltrazione da parte di questo attore, ma questo era il meccanismo più probabile attraverso il quale l’attore ha acquisito la chiave.
Microsoft sotto esame in USA
L’amministrazione del Presidente degli Stati Uniti Biden avrebbe avviato un’indagine per chiarire le responsabilità sugli account e-mail compromessi nell’attacco hacker proveniente dalla Cina alla vulnerabilità di Outlook ed Exchange. Nonostante abbia già rilasciato le patch di sicurezza per correggere la falla lo scorso luglio Microsoft sarebbe sotto esame da parte del Cyber Safety Review Board, un comitato consultivo sulla sicurezza informatica. Secondo esponenti del governo ci sarebbe una parte considerevole di responsabilità di Microsoft che non avrebbe fatto abbastanza per garantire la sicurezza degli accessi agli account di posta.
Le e-mail del governo sono state rubate perché Microsoft ha commesso un altro errore. Microsoft non avrebbe dovuto avere un’unica chiave di scheletro che, se inevitabilmente rubata, potesse essere utilizzata per falsificare l’accesso alle comunicazioni private di diversi clienti.
Microsoft è sotto l’occhio del ciclone anche da parte di alcuni clienti aziendali che di recente hanno iniziato a temere per la violazione dei propri dati sensibili dal cloud dopo le ultime faccende.
Cosa ne pensate delle vicende di violazione dei dati che stanno interessando Microsoft? Ditecelo nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2