微軟因“不足夠”的網絡安全做法在2023年黑客襲擊的美國報告中受到批評 - 彭博社

去年中國政府對微軟公司技術進行了入侵，使黑客能夠收集美國官員的電子郵件，“這種情況本不應發生”，根據政府網絡安全審查委員會週二發佈的一份報告。

網絡安全審查委員會是白宮指定的一個小組，旨在審查重大網絡攻擊，表示 微軟展示了“優先考慮企業安全投資和嚴格風險管理”的企業實踐。報告稱，該公司的安全文化“不足”，“需要徹底改革”。

審查委員會調查了2023年微軟Exchange Online郵箱遭到黑客攻擊的事件，外部人員侵入了22個組織和數百名個人。美國商務部長吉娜·雷蒙多（Gina Raimondo）；美國駐華大使尼古拉斯·伯恩斯（Nicholas Burns）；以及內布拉斯加州共和黨議員唐·培根（Don Bacon）都被捲入了這場攻擊。

報告稱，與中國政府有關的一個名為Storm-0558的黑客組織發起了這次攻擊。根據報告，微軟仍未確定攻擊者是如何滲入公司的。

審查人員還確定該公司在更新有關事件的誤導性或不準確披露方面行動緩慢。在一個案例中，微軟在2023年9月暗示黑客使用了一種稱為數字證書的工具來竊取電子郵件。直到11月，該公司才向委員會承認其9月的披露是“不準確的”，根據報告。

微軟表示將審查報告以獲取額外的建議。

“雖然沒有組織能夠免受來自資源充足的對手的網絡攻擊，但我們已經動員了我們的工程團隊來識別和減輕傳統基礎設施，改進流程並執行安全基準，”微軟發言人表示。

儘管微軟主要以其面向企業和消費者的軟件產品而聞名，但總部位於華盛頓的公司近年來已成為網絡安全產品的最大提供商，這一業務領域每年增長約200億美元。