尴尬! 微软内部漏洞数据库4年前就被黑客偷走
【腾讯科技编者按】 五名 微软 前雇员日前向《路透社》透露,公司创建的用于追踪自家软件漏洞的内部数据库早在4年前就落到了手段高明黑客团伙手中,而这也是目前已知的第二起公司数据库入侵事件。
而且在2013年发现此事后,微软并没有对外披露此次攻击的影响范围,该公司也拒绝对此发表置评。
据悉,这一所谓的“软件漏洞数据库”中包含了Windows等当今世界上使用最广泛操作系统、软件的未修复漏洞。我们几乎可以肯定,世界各国政府雇佣的间谍和其他黑客必然都对这一“软件漏洞数据库”非常感兴趣,并希望能够借此开发入侵工具。
消息称,微软是在2013年早期发现有黑客组织一连串入侵了包括 苹果 、 Facebook 和Twitter等数家科技企业电脑后发现这一情况的。据其中一名微软前员工透露,这一“软件漏洞数据库”包含的漏洞通常会在被黑后几个月内被修复。幸运的是,微软当时在发现这情况后及时将此事通报给了美国政府,这主要是因为他们认为黑客可能利用这些漏洞发起攻击,甚至入侵政府及公司网络。
“能够获得这些内部信息的坏家伙们相当于掌握了通往全世界数亿台电脑的‘万能钥匙’。”时任美国网络防御助理秘书埃里克-罗森巴赫(Eric Rosenbach)说道。
目前,面对越来越多的破坏性黑客攻击,许多企业都在努力发现和解决自家软件中存在的漏洞。包括微软在内的很多企业则选择通过向安全机构和黑客支付“奖金”的方式来获取更多漏洞信息,从而尽快采取补救措施。
在回复《路透社》日前发出的问询邮件时,微软这样回应道:“我们的安全团队积极的监控网络威胁,从而帮助我们第一时间获得信息,并保障微软用户的数据安全。”
这五名微软前员工表示,在公司发现此次攻击后,微软曾经调查过其他组织遭遇的黑客攻击状况,但尚没有发现有人利用“软件漏洞数据库”信息发起攻击的证据。
与此同时,两名现任微软员工表示公司认可这一评估结果。另外3名前员工则认为,这份调查取样的基数太少,不足以得出令人信服的结论。
微软前员工透露称,公司在发现数据库遭到入侵后加强了安全措施。比如,微软将这一“软件漏洞数据库”从公司网络中隔离,并且需要通过两步验证措施才能访问。
应该说,自从美国国家安全局(NSA)大量黑客工具被盗、被公之于众,甚至用于向英国医院和其他设施发起“WannaCry”攻击后,类似的安全问题就威发了广泛关注。比如,在WannaCry攻击发生后,微软总裁布拉德-史密斯(BradSmith)表示:“这一事态的严重性相当于美国的战斧导弹被盗。”
在此之前,软件公司大型数据库遭遇入侵的事件仅公开披露过一次。2015年,火狐浏览器开发商、非营利组织Mozilla基金会表示黑客入侵了公司的一个数据库,其中包含10项未修补的严重漏洞。而且,其中一项漏洞被黑客发现后用于向火狐用户发起攻击。
与微软此番作法不同的是,Mozilla在发现在这一情况后对外提供了泄密事件的详细信息,并呼吁用户采取行动保护自身数据安全。
Mozilla首席法务与商务官迪克斯-泰耶尔(Denelle Dixon-Thayer)表示:“及时告知用户这一情况的做法不仅可以保护他们的信息安全,还可以保护我们自己,并可以让其他相关公司从中吸取经验。最重要的是,透明和公开一直都是Mozilla的核心任务。”(综合/汤姆)