Ellopták a Microsoft saját sebezhetőség-adatbázisát
Még 2013-ban szerezték meg a legsúlyosabb hibák listáját, de a cég nem hozta nyilvánosságra.
Soha nem hozta nyilvánosságra a Microsoft, hogy 2013-ban támadóknak sikerült a belsős hibakövető rendszert feltörni és az abban tárolt, sebezhetőségeket és egyéb hibákat tartalmazó adatbázist lemásolni. A több, mint négy éve történt rendkívül súlyos adatlopásról azonban a szoftverház sem az ügyfeleket, sem a nagyközönséget nem tájékoztatta - tudta meg a Reuters öt, a támadás részleteit ismerő volt Microsoft-alkalmazottól.
A riport szerint a kikerült adatbázis a szoftverfejlesztő cégeknél általánosnak számító hibakövető rendszerhez tartozott. Ebben gyűjtik a fejlesztők a változatos javítandó hibákat, többek között a súlyos és kevésbé súlyos biztonsági réseket is. Az adatbázisban többek között a Windows operációs rendszer már felismert, de még nem javított sebezhetőségei is szerepeltek.
Egy ilyen adatbázisból igazi kiberháborús arzenál építhető - ha az NSA korábban feltört gyűjteményét kiberfegyver-raktárként jellemeztük, a Microsoft adatbázisa inkább a nyersanyagokat tartalmazta, amiből különösen pusztító fegyvereket építhetnek a támadók. A Microsoft az adatlopást követően igyekezett felderíteni, hogy a kikerült hibák visszaköszönnek-e a "vadonban". A források szerint azonban nem sikerült visszakövetni az élesben előforduló támadásokat az ellopott hibákhoz, azokat vélhetően nem használták további rendszerek feltöréséhez. A vizsgálattal kapcsolatban viszont megosztottak a Reuters forrásai: ketten állítják, hogy a konklúzió helyes, hárman viszont úgy gondolták, hogy a cég túl kevés adatot gyűjtött.
A támadást követően mindenesetre a Microsoft sokat szigorított. A hibakövetőt leválasztotta a vállalati hálózatról és a hozzáférést további bejelentkezési faktorokhoz kötötte.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az új információk különösen kényelmetlen pozícióba helyezik a céget. Korábban a Microsoft ugyanis nagyon erősen kritizálta az amerikai nemzetbiztonsági ügynökséget (NSA), amiért a szervezet gyűjtötte a kihasználható szoftveres hibákat - de nem jelentette azok létét a fejlesztőcégek felé. Így amikor a hibagyűjteményt sikerült lemásolni, rengeteg felhasználó és vállalat került veszélybe - a WannaCry gyors terjedését például egy, az NSA-től kikerült hiba tette lehetővé. A Microsoft most ott hibázott, hogy ügyfeleit és partnereit nem tájékoztatta erről a betörésről, ezzel komoly veszélybe sodorva őket.
Van egyébként precedens hasonló adatlopásra: 2015-ben a Mozilla hibakövető rendszeréhez fértek hozzá idegenek, amelyben a Firefox böngésző javítatlan sebezhetőségeit tárolták a fejlesztők. A hibák később támadásokban is visszaköszöntek. A Mozilla akkor azonnal nyilvánosságra hozta a betörés tényét és aktívan dolgozott a probléma elhárításán.