/cdn.vox-cdn.com/uploads/chorus_asset/file/24347781/STK095_Microsoft_03.jpg)
Microsoft, geçen ay Azure’a yapılan saldırının ardından artan eleştirilerle karşı karşıya. Siber güvenlik şirketi Tenable’ın CEO’su Amit Yoran, LinkedIn’deki bir gönderisinde Microsoft’un siber güvenlik geçmişinin “düşündüğünüzden daha kötü” olduğunu ve bunu destekleyecek bir örneği olduğunu söylüyor.
12 Temmuz’da Microsoft, Azure platformunu hedef alan ve Storm-0558 olarak bilinen Çinli bir bilgisayar korsanlığı grubuna kadar izini sürdüğü büyük bir ihlal açıkladı. Saldırı yaklaşık 25 farklı kuruluşu etkiledi ve ABD hükümet yetkililerinden hassas e-postaların çalınmasıyla sonuçlandı. Geçen hafta, Senatör Ron Wyden (D-OR), ABD Adalet Bakanlığına bir mektup göndererek Microsoft’u “ihmalkar siber güvenlik uygulamaları”ndan sorumlu tutmasını istedi.
Yoran, senatörün argümanlarına ekleyecek daha çok şeyi var ve yazısında Microsoft’un Çinli bilgisayar korsanlarının ABD hükümetini gözetlemelerine olanak tanıyan “yinelenen bir ihmalkar siber güvenlik uygulamaları modeli” gösterdiğini yazıyor. Ayrıca Tenable’ın Microsoft Azure’da ek bir siber güvenlik açığı keşfettiğini ve şirketin bu sorunu çözmesinin çok uzun sürdüğünü söyledi.
Tenable, açığı ilk olarak Mart ayında keşfetti ve kötü niyetli kişilerin bir banka da dahil olmak üzere bir şirketin hassas verilerine erişmesine izin verebileceğini keşfetti. Yoran, Tenable’ın şirketi bilgilendirmesinin ardından Microsoft’un “kısmi bir düzeltmeyi gerçekleştirmesinin 90 günden fazla sürdüğünü” iddia ederek, düzeltmenin yalnızca “hizmete yüklenen yeni uygulamalar” için geçerli olduğunu da sözlerine ekledi. Yoran’a göre, “düzeltmeden önce hizmeti başlatmış olan” banka ve diğer tüm kuruluşlar kusurdan hâlâ etkileniyor ve muhtemelen bu riskin farkında değiller.
Yoran, Microsoft’un sorunu Eylül ayı sonuna kadar çözmeyi planladığını ancak geciken yanıtı “bariz bir ihmal değilse de büyük ölçüde sorumsuzluk” olarak nitelendirdiğini söyledi. Ayrıca, Microsoft ürünlerinin 2014’ten bu yana keşfedilen tüm sıfır gün güvenlik açıklarının yüzde 42,5’ini oluşturduğunu gösteren Google’ın Project Zero verilerine de işaret ediyor.
Yoran, “Microsoft’tan ‘bize güvenin’ şeklinde bir şey duyarsınız, ancak aldığınız yanıt çok az şeffaflık ve zehirli bir şaşırtma kültürüdür” diye yazıyor. “Bir CISO, yönetim kurulu veya yürütme ekibi, veri kalıpları ve mevcut davranışlar göz önüne alındığında Microsoft’un doğru olanı yapacağına nasıl inanabilir?”
Microsoft kıdemli yöneticisi Jeff Jones, Yoran’ın eleştirilerine e-postayla gönderilen bir açıklamayla yanıt verdi. Sınır:
Ürün sorunlarını sorumlu bir şekilde ifşa etmek için güvenlik topluluğuyla işbirliğini takdir ediyoruz. Kapsamlı bir araştırmayı, etkilenen ürünlerin tüm sürümleri için güncelleme geliştirmeyi ve diğer işletim sistemleri ve uygulamalar arasında uyumluluk testini içeren kapsamlı bir süreç izliyoruz. Sonuç olarak, bir güvenlik güncellemesi geliştirmek, müşteri kesintisini en aza indirerek maksimum müşteri koruması sağlarken, zamanlama ve kalite arasında hassas bir denge kurmaktır.