Amit Yoran erhebt auf Linkedin schwere Vorwürfe gegen Microsoft. Wir erinnern uns an die „chinesischen Hacker“ von vor ein paar Wochen? Das, was der CEO einer Cybersecurityfirma da schreibt, klingt noch schlimmer:
In March 2023, a member of Tenable’s Research team […] discovered an issue […] which would enable an unauthenticated attacker to access cross-tenant applications and sensitive data, such as authentication secrets. […] Our team very quickly discovered authentication secrets to a bank. […] Did Microsoft quickly fix the issue that could effectively lead to the breach of multiple customers‘ networks and services? Of course not. They took more than 90 days to implement a partial fix – and only for new applications loaded in the service.
That means that as of today, the bank I referenced above is still vulnerable, more than 120 days since we reported the issue […] And […] they still have no idea they are at risk and therefore can’t make an informed decision about compensating controls and other risk mitigating actions. Microsoft claims that they will fix the issue by the end of September, four months after we notified them. That’s grossly irresponsible, if not blatantly negligent.
Amit Yoran
Das ist schon starker Tobak und in meinen Augen im Grunde bedenklicher als der unmittelbare und konkrete „Hack“ der Chinesen. Denn das, was ich aus dem Text herauslese, lässt auf eine firmeninterne Kultur schließen, die entweder nicht über das Personal, die Kapazität oder die Kompetenz verfügt, solche Lücken zeitgerecht zu schließen oder, und das wäre noch viel schlimmer, denn ich gehe nicht davon aus, das dem bei einem Unternehmen wie Microsoft so ist, nicht über den Willen, daraus eine oberste Priorität zu machen.
Auf Zweiteres lässt auch das Plätschern der Informationen schließen. Zuerst ist es ein Hack aus China (auf den man auch nur aufmerksam wird, weil Dritte das an Microsoft melden), dann, ich habe es in einer Aktualisierung zum Artikel geschrieben, wird bekannt, dass die gestohlenen Keys doch mehr können als anfangs zugegeben. Nun erfährt man von einer externen Firma, dass offene und bekannte Lücken nicht und nicht geschlossen werden… Klingt jetzt nicht so Vertrauen erweckend, oder?