(华盛顿综合电)美国政府支持的审查报告称,科技巨头微软公司因一系列本可避免的错误,导致中国黑客去年得以攻破美国高级官员的电邮账户。
根据美国网络安全审查委员会星期二(4月2日)发布的报告,委员会审查了2023年微软Exchange Online邮箱被侵入事件。在这次事件中,有22个组织和数百名个人的电邮账户遭外部人员入侵,受害者包括商务部长雷蒙多、美国驻华大使伯恩斯等政府高官。
报告指出,这起事件的幕后黑手是与中国政府有关联的“风暴-0558”(Storm-0558)黑客组织。微软未能检测到数字签名密钥的泄露,也没能检测到黑客曾在2021年入侵公司工程师的笔记本电脑,并获得了电邮账户的访问权限;一系列失败最终导致黑客侵入目标邮箱。
委员会称,微软公司的做法将企业安全投资和严格的风险管理放在了次要位置,公司的安全文化不足,须要进行彻底改革。
微软发言人说,公司将改进流程并执行安全基准,安全工程师会继续加强所有系统以抵御攻击。
民主党籍参议员怀登(Ron Wyden)则表明,联邦机构在向微软提供数十亿美元合同的同时,却未能要求后者达到最低安全标准,因此也应为此次漏洞承担部分责任。他也批评政府对微软的过度依赖,构成严重的国家安全威胁。
