Nachdem Microsoft zugegeben hatte, dass seine Azure-Plattform von der chinesischen Hackergruppe Storm-0558 angegriffen wurde, sagte der Vorsitzende und CEO des Netzwerksicherheitsgiganten Tenable: Amit Yorannutzte die Microsoft-eigene soziale Plattform LinkedIn, um seinen Beschwerden gegen die Sicherheitspraktiken von Microsoft Ausdruck zu verleihen.
Unter Berufung auf einen Brief, den US-Senator Ron Wyden kürzlich an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium (DoJ) und die Federal Trade Commission (FTC) geschickt hat, fordert Yoran Microsoft auf, sich für den „Mangel an Transparenz“ zu verantworten „und ein „wiederholtes Muster fahrlässiger Cybersicherheitspraktiken, die chinesische Spionage gegen die Regierung der Vereinigten Staaten ermöglicht haben“ (via Der Rand).
Das ist eine ziemliche Anschuldigung, und die Google Project Zero-Zahlen scheinen das Ganze nur noch schlimmer zu machen, denn Yoran bemerkt: „Microsoft-Produkte waren für insgesamt 42,5 % aller seit 2014 entdeckten Zero-Days verantwortlich.“
Yorans Hauptargument dreht sich um den Azure-Hack. Er sagt, Mitglieder des Tenable-Forschungsteams hätten zuvor potenzielle Azure-Sicherheitsprobleme untersucht, nur um schnell Zugriff auf einige ziemlich sensible Bankauthentifizierungsdaten zu erhalten.
Sein Team benachrichtigte Microsoft, sobald es die Schwere des Problems erkannte, und Yoran ist ziemlich verärgert über die scheinbar blasierte Haltung in dieser Angelegenheit.
„Hat Microsoft das Problem schnell behoben, das tatsächlich zu einem Verstoß gegen die Netzwerke und Dienste mehrerer Kunden führen konnte? Natürlich nicht. Es dauerte mehr als 90 Tage, bis eine Teilbehebung implementiert war – und das nur für neue Anwendungen, die in den Dienst geladen wurden.“
120 Tage später, als Yorans Post veröffentlicht wird, sind diese Bankdaten weiterhin offengelegt. Und während Microsoft verspricht, die Probleme bis September zu beheben, macht Yoran deutlich, dass es „grob unverantwortlich, wenn nicht sogar grob fahrlässig“ ist, vier Monate auf eine Lösung zu warten.