《彭博社》：網絡評論抨擊微軟銷售取證工具的方式

Andrew Martin, Robin Ajello

2024-04-04

微軟公司的標誌顯示在美國華盛頓州雷德蒙德的總部外。

攝影師：大衞·賴德爾/彭博社美國政府週二發佈了一份報告批評微軟公司的安全實踐，批評之處不止一點。

報告批評該公司的安全文化“不足”。報告稱去年的一次網絡攻擊導致黑客獲取了美國官員的電子郵件訪問權限，“本不應發生”。

而更微妙的是，報告還揭示了一項名為增強或高級日誌記錄的功能收費的做法。這一功能允許微軟客户隨着時間追蹤其系統內的活動，這對於提供公司所需的調查網絡攻擊所需的取證數據至關重要。

一名國會議員將這種做法比作汽車製造商額外收費提供氣囊。

委員會表示他們發現了“微軟一系列的安全失敗”，導致一箇中國政府支持的黑客組織Storm-0558侵入了全球22個組織和500多名個人的微軟Exchange在線郵箱，包括美國商務部長吉娜·蕾蒙多。

微軟沒有發現這次黑客攻擊。相反，2023年6月15日，國務院人員注意到了他們郵件系統中的異常，這一發現是不可能的，除非該機構購買了包括增強日誌功能的高級許可證，據報告稱。

國務院的一名分析師發現了來自其“大黃出租車”自定義警報工具的多個警報，並通知了微軟。該公司隨後在國務院發現問題約一週後，向商務部報告了對該機構系統的入侵。微軟隨後為商務部啓用了高級日誌記錄。

報告稱：“然而，商務部無法查看過去的活動，因為這些日誌只捕獲了微軟啓用高級日誌記錄的時間點。” 儘管微軟能夠獲取一些額外信息供內部團隊監控威脅活動，“不完整的數據集影響了商務部對此事件進行完整評估的能力。”

此外，報告稱，英國受害者沒有增強的日誌記錄功能。這影響了那裏的調查人員驗證微軟對早期威脅活動的聲明的能力。

2023年7月，就在發現這次入侵不久之後，微軟表示將免費為全球客户擴展雲日誌功能。今年2月，微軟宣佈為政府機構提供額外的日誌功能。

公司拒絕就其日誌記錄實踐問題發表評論。

關注日誌記錄是引人注目的，部分原因是多年來安全社區一直在討論這個話題。

在2020年所謂的SolarWinds網絡間諜活動曝光後，微軟因向政府機構收費以擴展日誌訪問權限而受到批評。微軟在2021年回應，為聯邦機構提供一年免費的高級審計日誌。

一些聯邦官員，包括網絡安全和基礎設施安全局局長Jen Easterly，在2022年呼籲技術公司停止對這些功能額外收費。

“我們需要確保我們團結一致，真正保護技術生態系統，而不是把負擔放在那些最無力自衞的人身上，”她在2022年説道，比國務院發現電子郵件泄露早了六個多月。

週二，網絡審查委員會的報告還呼籲微軟徹底改革其網絡安全文化，公司表示已經“動員我們的工程團隊，識別和減輕傳統基礎設施，改進流程並執行安全基準。”

去年秋天，微軟宣佈了其網絡安全實踐的全面改革，這被稱為安全未來計劃。

審查委員會指出了這一努力，但補充説“相信這些以及其他與安全相關的努力應該由微軟的首席執行官和董事會直接和密切監督，並且所有高級領導人都應對迅速實施所有必要變革負責。”

美國加利福尼亞州山景城的谷歌灣景園區。攝影師：Mike Kai Chen/Bloomberg谷歌表示，作為一項集體訴訟的和解協議的一部分，將刪除數百萬條用户瀏覽活動記錄，該集體訴訟聲稱谷歌在用户不知情的情況下跟蹤人們，我的同事戴維·阿爾巴報道星期一。

該案件於2020年提起，聲稱這家字母表公司的部門秘密收集了使用其熱門Chrome網絡瀏覽器的人們的數據，即使在私密的“無痕瀏覽”模式下。儘管該功能允許用户在使用Chrome瀏覽器時關閉數據收集，但根據訴訟，網站使用的其他谷歌工具，如廣告技術，仍會獲取他們的數據。

希望一切安好，否則。

**有新聞線索嗎？**您可以聯繫傑夫·斯通，郵箱：[email protected]。您也可以使用我們的SecureDrop安全匿名地發送文件。

獲取科技日報和更多彭博科技週刊內容，請訂閲：