Microsoft on kääntänyt vuosikymmenen mittaisen politiikan, jolla käytetään kiinalaisia insinöörejä arkaluonteisiin Pentagon Cloud Systems-yrityksiin harjoituksen paljastumisen jälkeen, mutta uusien raporttien mukaan yritys ei paljastanut tämän korkean riskin järjestelyn koko laajuutta Yhdysvaltain virkamiehille. (DoD), A ProPublica-tutkimus . Kiista on sittemmin lisääntynyt, yhdistäen käytännön merkittävään ohjelmistohakkiin. Pentagonille toimitetussa helmikuuta 2025″Järjestelmäturvallisuussuunnitelma”kuvasi epämääräistä”saattajaa pääsyä”-käytäntöä”ei-tarkistamattomalle henkilöstölle”, mukaan . Yhdysvalloista. Tämä tietoinen laiminlyönti ja kapetus paljastamisessa todennäköisesti vaikuttivat hallituksen hyväksymiseen käytännössä, jota se ei ymmärtänyt täysin, kuten tietueet osoittavat.
Läpinäkyvyyden puute auttaa selittämään, miksi Pentagonin ylimmät virkamiehet olivat näennäisesti sokeita. Entinen DOD: n tiedotusjohtaja John Sherman, joka sanoi, että hän ei aiemmin ollut tietoinen ohjelmasta, myönsi:”Minun olisi todennäköisesti pitänyt tietää tästä.”Hänen reaktionsa toistivat muut virkamiehet, jotka olivat järkyttyneitä räikeästä haavoittuvuudesta.
Sherman päätti myöhemmin, että kysymys oli”tapaus, jossa ei esitetä täydellistä kysymystä myyjälle, ja jokainen mahdollinen kielletty tila on kirjoitettu”. Hän lisäsi, että tällainen kysymys”olisi tupakoinut tämän hullun”digitaalisten saattajien”käytännön”ja että”yrityksen on myönnettävä, että tämä oli väärin ja sitoutunut tekemään asioita, jotka eivät läpäise tervettä järkeä.”
Valvontahäiriö näyttää olevan systeeminen ja syvällinen. DOD: n oma IT-virasto Defense Information Systems Agency (DISA) tarkisti ja hyväksyi Microsoftin tietoturvasuunnitelman. Disan tiedottaja kertoi aluksi ProPublicalle:”Kirjaimellisesti kukaan ei tunnu tietävän tästä mitään”, korostaen kuinka syvästi käytäntö haudattiin.
Tämä tilanne myös valottaa mahdollisia eturistiriitoja itse fedramp-prosessissa. Sekä Fedramp että DOD luottavat eläinlääkärin myyjille”kolmansien osapuolten arviointijärjestöihin”. Arvioitava yritys kuitenkin palkataan ja maksetaan nämä riippumattomat tilintarkastajat. Esimerkiksi Microsoft palkkasi Kratos-nimisen yrityksen hallitsemaan arviointinsa.
kriitikot, mukaan lukien entinen yleinen palvelunhallintaviranomainen, väittävät, että tämä järjestely esittelee luontaisen konfliktin, joka vertaa sitä . Entinen Microsoftin työntekijä, joka on perehtynyt prosessiin, kuvasi sitä”todistajan johtamiseksi”, jossa todetaan:”Maksat haluamastasi tuloksesta”. Tämä epämääräisen paljastamisen ja ulkoistettujen valvontayhdistelmät antoivat riskialttiuden jatkua vuosien ajan.
Pentagonin takaisku ja nopea käännös
Washingtonin julkinen reaktio oli välitön ja vakava heinäkuun alkuperäisen raportin jälkeen. Yhdysvaltain puolustusministeri Pete Hegseth lähetti X: lle, että käytäntöä ei voida täysin hyväksyä, ja se ilmoitti
Tämä yksiselitteinen julkinen nuhtelu Pentagonin korkeimmasta tasolta jätti Microsoftin ilman tilaa liikkumiseen. Lainsäätäjät vahvistivat painetta, kun senaattorit, kuten Tom Cotton kutsutaan toimitusketjujen risiksi ja vaativat toimenpiteitä. Hegsethille annetussa kirjeessä Cotton totesi, että oli selvää, että DoD: n ja kongressin olisi ryhdyttävä lisätoimiin sellaisia”viisaita-ja törkeitä-käytäntöjä.”18. heinäkuuta, vain muutaman päivän kuluttua tarinan rikkoutumisesta, viestintäjohtaja Frank X. Shaw ilmoitti muutoksesta. Post x , Shaw vahvisti, että “Microsoft on tehnyt muutoksia Yhdysvaltain hallituksen asiakkaille varmistaakseen, ettei mikään Kiina-pohjainen tekninen ryhmät ole” Digitaaliset apupalvelut”P. saattaja”Ohjelma ei ollut yritykselle yksittäinen tapaus. Se lisäsi huolestuttavaan turvallisuusmalliin, joka on vaivannut Microsoftia ja heikentyneen luottamuksen Washingtoniin. Swift-tuomitsemista seurasi Scathing Goted Comforming Joku Sähköpostit. Kyberturvallisuuden tarkistuslautakunnan raportti syytti”vältettävien virheiden kaskadia”ja yrityskulttuuria, joka”vastusti turvallisuutta”. Vain kuukausi ennen saattajan tarina rikkoutui, Microsoftin presidentti Brad Smith todistettu ennen kongressia. Viimeisin ilmoitus vain vahvisti nykyistä poliittista painostusta, joka pakotti yrityksen käden. Skandaali otti uuden hälyttävän käännöksen, kun seuraava ProPublica-raportti elokuussa paljasti, että kiinalaisten insinöörien käyttö ei ollut rajoitettu pilvi-infrastruktuuriin. Kiinapohjainen joukkue oli myös suoraan vastuussa virheiden ylläpitämisestä ja korjaamisesta Microsoftin paikan päällä olevassa SharePoint-ohjelmistossa, kuten Winbuzzer on ilmoittanut. Hyödyntäminen vaaransi yli 400 organisaatiota, mukaan lukien osat Yhdysvaltain kotimaan turvallisuusministeriö. Vastauksena Microsoft tunnusti käytännön ja totesi, että “työtä on jo käynnissä siirtämään tämä työ toiseen sijaintiin”, joka heijastaa sen reaktiota Pentagon Cloud-kiistoihin. “työkalunshell”-hyökkäys oli hienostunut”korjaustiedosto”, joka varasti palvelimen kryptografisen konekavaimen, joka tarjoaa syvän ja jatkuvan pääsyn. Kyberturvallisuusyrityksen silmäturvallisuus, joka ensin havaitsi kampanjan, varoitti, että tämä vaikeutti kunnostamista, huomauttaen, että”yksinään laastari ei ratkaise asiaa”. Yhdysvaltain CISA korosti vaaraa, jossa todettiin, että hyväksikäyttö tarjoaa “epätodentoimattoman pääsyn järjestelmiin ja mahdollistaa haitallisten toimijoiden pääsyn täysin SharePoint-sisältöön.” hyväksikäytön alkuperä on erittäin kiistanalainen. Turvallisuusasiantuntijat uskovat, että hyökkääjät saivat etumatkan sisäpiiriläisvuotosta, ei vain taitavasta hakkeroinnista. Todisteet osoittavat, että hyväksikäyttö alkoi 7. heinäkuuta, koko päivä ennen kuin Microsoft julkaisi virallisen korjauksensa. Tämä on saanut tutkijat spekuloimaan, että yksityiskohdat vuotavat Microsoftin Active Protection-ohjelmasta (MAPP), joka antaa turvallisuusmyyjille ennakkomaksua koskevia korjaustiedot. ohittaa korjaustiedoston…”Keinottelut saivat merkittävän painon, kun Bloomerberd SharePoint Hack-yhteys sytyttää edelleen Outrage
