編者按:本文來自每日經濟新聞,每經實習記者 胡曉蕊,每經實習編輯 郭鑫,36 氪經授權轉載。
據路透社消息,五名微軟前員工透露,該公司用於追蹤自傢軟件漏洞的內部秘密數據庫早在 4 年以前就遭到瞭黑客團夥入侵,這份數據庫涉及 Windows 等在內的當今世界上使用最廣泛的一批軟件,其中很多軟件的漏洞非常嚴重,而且沒有被修復。
根據《每日經濟新聞》瞭解,在 2013 年數據泄露事件發生後,微軟並沒有詳細公佈受到攻擊後影響的范圍。目前,微軟拒絕對此置評。
數據庫早在四年前就遭攻擊
消息稱,微軟在 2013 年就發生瞭數據泄漏事件。當年,一群尖端黑客攻擊瞭包括蘋果、Facebook 和推特在內的一系列科技巨頭公司。黑客們利用 Java 程序語言中的一個漏洞,滲透到蘋果工作人員的 Macintosh 電腦中,後再進一步入侵公司的網絡。
《每日經濟新聞》註意到,在 2013 年數據庫泄漏事件發生一周後,微軟方面隻發佈瞭一個簡短的聲明,稱數據泄漏在可控制范圍內,但其並沒有公佈更多的細節。
根據微軟前員工的表述,微軟當時隻將泄露一事通知給瞭美國政府,因為他們認為黑客可能利用這些數據再次發起攻擊,還有可能入侵政府及公司網絡。
" 破壞分子夠獲得的這些內部信息相當於掌握瞭全世界數億臺電腦的‘萬能鑰匙’。" 時任美國網絡防禦助理秘書的埃裡克 · 羅森巴赫(Eric Rosenbach)說。
程序崩潰後才能知道有黑客入侵
五名前雇員的表示,當公司內部官員意識到用於追蹤自傢軟件漏洞的內部秘密數據庫泄漏之後,氣氛開始變得緊張起來。因為微軟數據庫的保護性非常差,隻需簡單的密碼登錄即可。
根據前員工回憶,微軟遭黑客入侵的幾個月後已將漏洞修補。盡管這是他們首次公開談這件事,但這些向路透社爆料的前員工表示,那次黑客事件讓他們警覺到,黑客當時可以用這些資料在其它地方發動攻擊,入侵政府和企業網路。
路透社采訪的 5 名前雇員中有 3 人表示,即使漏洞被修復,也顯然不能排除這些漏洞在後續被黑客繼續利用的可能。
" 他們很顯然發現瞭這個漏洞,不過關於這些漏洞是否被利用瞭,他們並沒有做更為詳細的調查。" 這其中一部分原因是微軟一直依靠軟件崩潰而自動形成的報告來告訴程序員可能的入侵出現瞭。一名專傢稱,這個方法的弊端是很多技術高深的黑客即使在入侵你的電腦時,也不會使你的程序崩潰。此外,那些最容易受到攻擊的機器,比如那些有重要或者機密信息的政府機構的電腦,通常是不會自動崩潰的。
美國國土安全部負責網絡安全的副部長 Mark Weatherford 在瞭解到微軟一事後提醒廣大公司,應該嚴肅對待錯誤報告。
泄露數據庫被隔離 登陸者需二次身份驗證
在經歷一波破壞性的黑客攻擊浪潮後,各傢公司都在努力尋找和修復軟件中的漏洞。包括微軟在內的許多公司通過向安全研究人員和黑客支付 " 賞金 ",以獲得更多關於漏洞的信息,並確保能做出更多的努力來保障軟件的安全。
應該說,自從今年美國國傢安全局(NSA)的網絡武器庫被入侵以後,類似的安全問題才引起瞭廣泛的關註。微軟總裁佈拉德 - 史密斯(BradSmith)表示:" 這一事態的嚴重性相當於美國的戰斧導彈被盜。
微軟在回答路透社的一封郵件中說道:" 目前,我們的網絡安全團隊隨時隨地都在監測可能出現的安全隱患,以便我們能夠最快的采取行動來保障我們用戶的信息安全。"
據《每日經濟新聞》瞭解,在此次信息泄露事件後,微軟將這一數據庫從公司網絡中隔離出來,並要求對登陸者進行二次身份驗證,來加強安全方面的監管。
在微軟的數據庫丟失事件被曝光之前,同類數據庫被盜被曝光的案例僅有一例:2015 年,瀏覽器開發商火狐的一個數據庫被黑客入侵,10 項未修補的嚴重漏洞信息被竊取,後來,黑客利用其中一個漏洞向火狐用戶發起攻擊。
火狐首席商務官兼法務 Denelle Dixon 在公佈數據泄露事件後解釋道:" 這不僅僅是為瞭提醒我們的用戶,也是為瞭幫我們自己以及其他公司更多的瞭解這一情況,最重要的是公開和透明一直是我們對待用戶的基本原則。"
