美國政府審查委員會在周二發布的一份措辭嚴厲的報告中表示,微軟的「一系列安全故障」使得中國支持的駭客入侵了美國高級官員的電子郵件帳戶。
網路安全審查委員會的結論是,線上入侵是“可以預防的”,微軟的企業文化“不重視企業安全投資和嚴格的風險管理”。
報告稱,鑑於該公司在全球技術生態系統中的核心作用,「微軟的安全文化不夠充分,需要徹底改革」。
報告繼續說,微軟產品「支撐著支持國家安全、經濟基礎以及公共健康和安全的基本服務」。
該小組還提出了廣泛的建議,包括敦促微軟暫停在其雲端運算環境中添加功能,直到「取得實質的安全性改進」。
報告稱,微軟執行長和董事會應實施“快速文化變革”,包括公開分享“一項具有具體時間表的計劃,以在整個公司及其全套產品中進行根本性的、以安全為重點的改革」。
“強化系統抵禦攻擊”
微軟在聲明中表示,它讚賞委員會的調查,並將「繼續強化我們所有的系統以抵禦攻擊,並實施更強大的感測器和日誌,以幫助我們檢測和擊退對手的網路軍隊」。
受國家支持的中國駭客入侵了 22 個組織和 500 多人的 Microsoft Exchange 電子郵件。
報導稱,駭客訪問了一些基於雲端的電子郵箱至少六週,僅從國務院下載了約 6 萬封電子郵件。
報導稱,三個智庫和四個外國政府實體,包括英國國家網路安全中心,都受到了攻擊。
報告稱,這次線上入侵之所以能夠成功,是因為「微軟一連串可避免的錯誤」。
該委員會是根據美國2021 年的一項行政命令成立的,該委員會還指責微軟對這一事件做出了不准確的陳述,包括它已經確定了入侵的原因,「但事實上,它仍然沒有確定」。
