微軟給內部漏洞做了個數(shù)據(jù)庫:但4年前就被黑客偷走
據(jù)報道,5名微軟前員工透露,該公司用于追蹤自家軟件漏洞的內部數(shù)據(jù)庫4年多以前遭到手段高明的黑客團伙入侵,這也目前已知的第二起類似的公司數(shù)據(jù)庫入侵事件。
在2013年發(fā)現(xiàn)此事后,微軟當時并未披露攻擊的影響范圍,但5名前員工向路透社披露了此事。微軟拒絕對此置評。
該數(shù)據(jù)庫中包含的漏洞涉及Windows等當今世界上使用最廣泛的一批軟件,其中的很多漏洞非常嚴重,而且沒有修復。世界各國政府雇傭的間諜和其他黑客都對這類信息垂涎三尺,希望能夠借此開發(fā)入侵工具。
前員工透露,數(shù)據(jù)庫中包含的漏洞可能在被黑后幾個月內即被修復。但這些前員工以及美國官員表示,微軟當時將此事通知美國政府,因為他們認為黑客可能利用這些數(shù)據(jù)發(fā)起攻擊,還有可能入侵政府及公司網絡。
“能夠獲得這些內部信息的壞分子相當于掌握了全世界數(shù)億臺電腦的‘萬能鑰匙’。”當時擔任美國網絡防御助理秘書的埃里克·羅森巴赫(Eric Rosenbach)說。
面臨越來越多的破壞性黑客攻擊,各類企業(yè)目前都在努力發(fā)現(xiàn)和解決自家軟件中的漏洞。包括微軟在內的很多公司也都向安全機構和黑客支付“獎金”,希望獲取更多漏洞信息,從而盡快采取補救措施。
微軟此時回應道:“我們的安全團隊負責積極監(jiān)控網絡威脅,從而幫助我們優(yōu)先處理相關問題,并采取相應措施,為用戶提供保護。”
這5位前員工表示,在發(fā)現(xiàn)此次攻擊后,微軟曾經調查過其他組織遭遇的攻擊狀況。但并沒有發(fā)現(xiàn)有人利用這些信息發(fā)起攻擊。
兩名現(xiàn)任微軟員工表示,該公司認可這一評估。而3名前員工則認為,這份調查的樣本數(shù)據(jù)太少,不足以得出結論。
微軟前員工,該公司在數(shù)據(jù)遭到入侵后收緊了安全措施,將這一數(shù)據(jù)庫從公司網絡中隔離,并且需要通過兩步驗證措施才能訪問。
在美國國家安全局(NSA)的大量黑客工具被盜,并被公之于眾,甚至用于向美國的醫(yī)院和其他設施發(fā)起破壞性“WannaCry”攻擊后,類似的問題構成的威脅引發(fā)了廣泛關注。
在WannaCry攻擊發(fā)生之后,微軟總裁布拉德·史密斯(Brad Smith)將此事比作“美國丟失一些戰(zhàn)斧導彈”。
在此之前,軟件公司的大型數(shù)據(jù)庫遭到入侵的事件僅公開披露過一次。2015年,作為火狐瀏覽器的開發(fā)商,非營利組織Mozilla基金會表示黑客入侵了該公司的一個數(shù)據(jù)庫,其中包含10項未修補的嚴重漏洞。其中一項漏洞之后之后被用于向火狐用戶發(fā)起攻擊。
與微軟不同,Mozilla提供了當時泄密事件的詳細信息,并呼吁用戶采取行動。