Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Корпорация Microsoft проигнорировала предупреждения о возможных уязвимостях, потому что боялась потерять контракты с правительством США — выяснил расследовательский проект ProPublica. Позже российские хакер:ки использовали слабое место, чтобы взломать Национальное управление ядерной безопасности США.
Нанятый корпорацией специалист по кибербезопасности Эндрю Харрис обнаружил уязвимость в авторизации в облако Microsoft. По его словам, хакер:ки могли выдавать себя за сотрудни:ц компании с доступом к чувствительным данным.
До сотрудничества с Microsoft Харрис работал с Министерством обороны США, поэтому для специалиста подобная проблема была «кошмаром». Харрис рассказал о ней своим колле:жанкам, но американское правительство готовилось инвестировать к облачные разработки — Microsoft захотела заключить контракт с правительством. Признание уязвимости снизило бы шансы компании заработать.
Харрис на протяжении нескольких лет «умолял» руководитель:ниц корпорации устранить уязвимость, но они игнорировали его советы, пообещав разработать долгосрочную альтернативу. Все это время уязвимость в облаке оставалась.
В ответ специалист предложил временное решение проблемы, но оно требовало отключения удобной функции — доступа почти ко всем рабочим программам с помощью одного входа в систему.
Харрис предупредил самых уязвимых клиенто:к облака об угрозе и лично курировал исправление проблемы для нью-йоркской полиции. Харрис покинул компанию в августе 2020 года из-за ее бездействия.
Через несколько месяцев угроза воплотилась в реальность — поддерживаемые Россией хакер:ки воспользовались этим слабым местом, взломав компанию Solarwinds и системы государственных ведомств США.
Microsoft публично отрицала наличие уязвимости в своих продуктах, при этом внутри компания признала, что вопросы безопасности были менее приоритетными, чем бизнес.
Этот кризис вызвал критику со стороны правительства США и призывы к улучшению корпоративной безопасности.