微軟被點(diǎn)名批評(píng)：34 頁(yè)報(bào)告稱其安全措施不到位

IT之家 4 月 10 日消息，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)（CSRB）近日發(fā)布了 34 頁(yè)安全報(bào)告，點(diǎn)名批評(píng)微軟安全措施不夠到位，導(dǎo)致來自美國(guó) 22 個(gè)組織、影響 500 多人的電子郵件被泄露。

該安全事件可以追溯到 2021 年，黑客組織 Storm-0558 獲取了微軟賬戶（MSA）加密密鑰，用來偽造身份驗(yàn)證令牌，監(jiān)視美國(guó)政府機(jī)構(gòu)的電子郵件賬戶。

微軟于 2023 年 7 月發(fā)布安全公告，在博文中確認(rèn)黑客獲得了對(duì) 25 個(gè)美國(guó)政府機(jī)構(gòu)的 Exchange Online 和 Azure Active Directory（現(xiàn)稱為 Microsoft Entra ID）賬戶的“合法”訪問權(quán)限。

CSRB 的觀點(diǎn)是本次入侵事件完全可以避免，黑客之所以能夠入侵，很大程度上微軟出現(xiàn)了一連串的安全故障。

IT之家附上部分錯(cuò)誤如下：

• 未能檢測(cè)到加密算法被攻破

• 在員工設(shè)備連接到微軟公司網(wǎng)絡(luò)之前，未能檢測(cè)到該員工的筆記本電腦已被攻破

• 微軟沒有第一時(shí)間糾正錯(cuò)誤

相關(guān)閱讀：

《受多起數(shù)據(jù)泄露事件影響，微軟被指“不注重網(wǎng)絡(luò)安全”》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。