微軟在涉嫌中國黑客的電子郵件泄露事件中的角色是美國調查的一部分 - 彭博社

美國網絡安全諮詢小組將調查惡意針對雲計算環境的行為，包括微軟公司在最近一次涉嫌中國黑客入侵政府官員電子郵件賬户中的角色，美國國土安全部週五確認。

由網絡安全審查委員會進行的審查，該委員會是拜登政府成立的，旨在調查重大網絡安全事件，將重點關注雲服務提供商、政府和行業應採取的方法，以加強雲中的身份管理和認證，根據國土安全部聲明。

根據聲明，國土安全部官員在7月得知此事件後立即開始考慮電子郵件入侵是否適合委員會審查的主題。

“各種組織越來越依賴雲計算向美國人民提供服務，這使我們必須瞭解該技術的漏洞至關重要，”國土安全部部長亞歷杭德羅·馬約爾卡斯説。“雲安全是我們一些最關鍵系統的支柱，從我們的電子商務平台到我們的通訊工具再到我們的關鍵基礎設施。”

彭博新聞援引兩位知情人士的話報道稱，該委員會將審查雲安全和微軟在電子郵件入侵中的角色。微軟股價週五上午在紐約下跌約1%。

董事會決定專注於雲計算，這是繼上個月參議員羅恩·懷登要求調查微軟在數據泄露事件中的角色之後的一項決定。在7月27日的信函中，懷登要求總檢察長梅里克·加蘭、聯邦貿易委員會主席麗娜·汗和網絡安全與基礎設施安全局局長詹·伊斯特利調查微軟，並要求公司“對其疏忽的網絡安全實踐負責”。

微軟未回應置評請求。

懷登在一份聲明中表示讚賞這一決定。“只有找出問題所在，政府才能保護聯邦系統免受網絡攻擊，”他説。

作為全球最大的軟件製造商，微軟正面臨着來自計算機安全專家和政府機構越來越多的審查，質疑其保護客户免受數據泄露的能力。網絡安全公司Tenable Holdings Inc.的首席執行官阿米特·約蘭批評微軟，在LinkedIn上表示，稱該公司“缺乏透明度，涉及到數據泄露、不負責任的安全實踐和漏洞，所有這些都使他們的客户面臨風險，而客户卻被蓄意矇在鼓裏。”

東部機構，隸屬於國土安全部，被稱為CISA，管理着委員會，負責在重大網絡安全事件發生後召集委員會，根據2022年成立委員會時的聲明。調查結束後，委員會將發佈一份詳細説明出了什麼問題並提出未來變革建議的報告。

在一次採訪中，Easterly建議微軟應該“重新捕捉”微軟聯合創始人比爾·蓋茨在2002年所稱的“值得信賴的計算”理念，當時他指示員工專注於安全而不是添加新功能。

“我絕對認為他們必須專注於確保他們的產品在設計時默認安全，並且我們將繼續與他們合作，敦促他們這樣做，”Easterly談到了微軟。

懷登呼籲對微軟進行調查，涉及中國黑客

美國官員電子郵件遭到黑客攻擊，包括商務部長吉娜·蕾蒙多和國務院官員的賬户，在國務卿安東尼·布林肯前往中國會見習近平主席之前的幾周發生。黑客通過獲取微軟消費者簽名密鑰進入網絡，從而獲得官員電子郵件的訪問權限。

“政府電子郵件被盜，因為微軟犯了另一個錯誤，”俄勒岡州民主黨人懷登在信中説。“微軟不應該擁有一個單一的萬能鑰匙，當不可避免地被盜時，可以用來偽造訪問不同客户的私人通信。”

韋登還推動美國官員調查所謂的SolarWinds攻擊，在他的信中表示，微軟“從未對自己的角色負責”。在這次攻擊中，即2020年披露的，俄羅斯政府支持的黑客入侵了聯邦政府和私營部門的計算機網絡。

SolarWinds被計劃為董事會進行的第一項調查，根據創建它的行政命令。但是那次調查從未發生。相反，董事會調查了Log4j軟件漏洞，後來又調查了侵入主要美國公司的Lapsus$黑客組織。董事會對Lapsus$的報告於8月10日發佈。

韋登表示，他一直在努力讓CISA和國土安全部指示董事會研究SolarWinds的違規行為。

“如果董事會研究了2020年的SolarWinds黑客攻擊，正如拜登總統最初指示的那樣，它的調查結果可能已經能夠及時加強聯邦網絡安全，以阻止黑客利用最近事件中的類似漏洞，”韋登在週五發佈的聲明中説。