Microsoft пренебрегла безопасностью ради государственных контрактов с США — расследование

Корпорация Microsoft проигнорировала предупреждения о возможных уязвимостях, потому что боялась потерять контракты с правительством США — выяснил расследовательский проект ProPublica. Позже российские хакер:ки использовали слабое место, чтобы взломать Национальное управление ядерной безопасности США.

Нанятый корпорацией специалист по кибербезопасности Эндрю Харрис обнаружил уязвимость в авторизации в облако Microsoft. По его словам, хакер:ки могли выдавать себя за сотрудни:ц компании с доступом к чувствительным данным.

До сотрудничества с Microsoft Харрис работал с Министерством обороны США, поэтому для специалиста подобная проблема была «кошмаром». Харрис рассказал о ней своим колле:жанкам, но американское правительство готовилось инвестировать к облачные разработки — Microsoft захотела заключить контракт с правительством. Признание уязвимости снизило бы шансы компании заработать.

Харрис на протяжении нескольких лет «умолял» руководитель:ниц корпорации устранить уязвимость, но они игнорировали его советы, пообещав разработать долгосрочную альтернативу. Все это время уязвимость в облаке оставалась.

В ответ специалист предложил временное решение проблемы, но оно требовало отключения удобной функции — доступа почти ко всем рабочим программам с помощью одного входа в систему.

Харрис предупредил самых уязвимых клиенто:к облака об угрозе и лично курировал исправление проблемы для нью-йоркской полиции. Харрис покинул компанию в августе 2020 года из-за ее бездействия.

Через несколько месяцев угроза воплотилась в реальность — поддерживаемые Россией хакер:ки воспользовались этим слабым местом, взломав компанию Solarwinds и системы государственных ведомств США.

Microsoft публично отрицала наличие уязвимости в своих продуктах, при этом внутри компания признала, что вопросы безопасности были менее приоритетными, чем бизнес.

Этот кризис вызвал критику со стороны правительства США и призывы к улучшению корпоративной безопасности.