Microsoft chịu chỉ trích kịch liệt sau vụ Bộ Ngoại giao và Thương mại Hoa Kỳ bị hack

Vào cuối tháng 6, Chuyên gia an ninh mạng Steven Adair của Microsoft đã nhận khiếu nại từ một khách hàng làm việc trong lĩnh vực nhân quyền rằng mình đã bị xâm phạm tài khoản email. Khách hàng muốn biết liệu Adair có thể khắc phục triệt để vấn đề này hay không.

Adair đã ngay lập tức tiến hành một cuộc điều tra nhưng lại vấp phải một rào cản lớn.

“Chúng tôi đã xem xét mọi chi tiết liên quan đến hành vi của người dùng này, nhưng không tìm thấy bất cứ hành vi đáng ngờ nào” ông chia sẻ.

Kẻ xấu đã đột nhập vào email khách hàng của ông Adair cũng chính là nhóm gián điệp mạng tinh vi đã khiến Microsoft bị cáo buộc là đánh cắp email từ các quan chức cấp cao của Hoa Kỳ, bao gồm cả nhân viên Bộ Ngoại giao và Bộ trưởng Thương mại Gina Raimondo. Microsoft cho biết các vụ tấn công không phải bằng cách chiếm quyền điều khiển máy tính hoặc đánh cắp mật khẩu mà bằng cách lợi dụng một vấn đề bảo mật không được tiết lộ qua dịch vụ email trực tuyến của công ty.

Bởi vì khách hàng của ông đã không trả tiền cho bộ bảo mật cao cấp của Microsoft nên những dữ liệu pháp y chi tiết không khả dụng và Adair không có cách nào để tìm ra điều gì đã xảy ra.

Adair hiện đang thúc đẩy Microsoft cung cấp dữ liệu bổ sung miễn phí cho khách hàng của mình trong bối cảnh Chính phủ không hài lòng với các hoạt động bảo mật của công ty này.

Thượng nghị sĩ Hoa Kỳ Ron Wyden cho biết Microsoft nên cung cấp cho tất cả khách hàng của mình khả năng pháp lý đầy đủ và nhấn mạnh rằng "việc tính phí mọi người cho các tính năng bảo mật cao để không bị tấn công cũng giống như bán một chiếc ô tô rồi tính thêm tiền cho dây an toàn và túi khí."

Microsoft đã không có động thái trả lời ngay các kiến nghị về vấn đề bảo mật này.

Trong một bài đăng trên blog giải trình về vụ hack vừa qua, Microsoft nói rằng "trách nhiệm giải trình bắt đầu từ chúng tôi" và chúng tôi sẽ "liên tục tự đánh giá, học hỏi từ các sự cố" và tăng cường khả năng bảo mật của mình.

Trong nhiều năm, các cá nhân, tổ chức và chính phủ đã chuyển email, bảng tính và dữ liệu khác của họ từ máy chủ của họ sang máy chủ của Microsoft, tận dụng lợi thế tiết kiệm chi phí và tích hợp với bộ công cụ văn phòng của công ty có trụ sở tại Redmond, Washington. Đồng thời, Microsoft đã thúc đẩy việc sử dụng các sản phẩm bảo mật của riêng họ, thúc đẩy một số khách hàng bỏ các chương trình chống vi- rút thừa thãi khác.

Quá trình di chuyển dữ liệu và dịch vụ của một tổ chức sang một công ty công nghệ lớn đôi khi được gọi là "di chuyển lên đám mây". Nó có thể tăng cường bảo mật, đặc biệt là đối với các tổ chức nhỏ thiếu tài nguyên để vận hành bộ phận bảo mật hoặc CNTT của riêng họ.

“Các tổ chức cần đầu tư vào bảo mật,” Adam Meyers của công ty an ninh mạng CrowdStrike cho biết. "Việc có một nhà cung cấp chịu trách nhiệm về tất cả công nghệ, sản phẩm, dịch vụ và bảo mật có thể dẫn đến mối nguy hiểm tiềm tàng."

Sự thất vọng ngày càng gia tăng trước hệ thống cấu trúc cấp phép của Microsoft khi mà công ty này tính phí khách hàng cao hơn để có khả năng xem nhật ký pháp y chi tiết giống như những gì mà Adair của Volexity không thể truy cập. Vấn đề đã trở thành điểm gây tranh cãi giữa công ty và chính phủ Hoa Kỳ kể từ khi vụ hack công ty phần mềm kinh doanh SolarWinds được tiết lộ vào năm 2020.