A Microsoft megfordította egy évtizedes politikát, amely szerint a Kína székhelyű mérnököket érzékeny Pentagon Cloud Systems-hez használják a gyakorlat kiadását követően (DOD), a propublica vizsgálat . Az ellentmondás azóta eszkalálódott, összekapcsolva a gyakorlatot egy nagy szoftver hack-kel. A Pentagonhoz benyújtott 2025. február „Rendszerbiztonsági terv” egy homályos „kíséretű hozzáférési politikát” írt le a „nem szűrésű személyzet” számára, a másolat”. Propublica . Államok. Ez a szándékos mulasztás és a nyilvánosságra hozatali kötelezettség valószínűleg hozzájárult ahhoz, hogy a kormány elfogadja-e egy olyan gyakorlatot, amelyet nem értett teljes mértékben, amint azt a nyilvántartások azt mutatják. John Sherman, a DOD volt információs tisztviselője, aki azt mondta, hogy korábban nem ismeri a programot, beismerte:”Valószínűleg tudnom kellett volna erről.”Reakcióját más tisztviselők visszhangzottak, akiket megdöbbent a szembeszökő sebezhetőség. Hozzátette, hogy egy ilyen kérdés „dohányozta volna a„ digitális kíséret “őrült gyakorlatát”, és hogy „a társaságnak be kell vallania, hogy ez helytelen volt, és elkötelezte magát amellett, hogy nem végez olyan dolgokat, amelyek nem teljesítenek józan ész tesztet. A Védelmi Információs Rendszerek Ügynöksége (DISA), a DOD saját informatikai ügynöksége felülvizsgálta és elfogadta a Microsoft biztonsági tervét. A DISA szóvivője kezdetben elmondta a ProPublicának: „Úgy tűnik, hogy szó szerint senki sem tud erről szólni. Mind a FedRamp, mind a DOD a „harmadik fél értékelő szervezeteire” támaszkodik az állatorvosok számára. Ezeket a független könyvvizsgálókat azonban közvetlenül a felmérett társaság veszi fel és fizetik. A Microsoft például egy Kratos nevű társaságot bérelt fel az értékeléseinek kezelésére. Target=”_ üres”> étterem fizet a saját egészségügyi ellenőréért . Egy volt Microsoft alkalmazott, aki ismeri a folyamatot, úgy írta le, hogy „a tanú vezetése”, kijelentve: „Fizetsz a kívánt eredményért”. A homályos nyilvánosságra hozatal és a kiszervezett felügyelet e kombinációja lehetővé tette a kockázatos gyakorlat számára, hogy évekig fennmaradjon. Pete Hegseth, az Egyesült Államok védelmi minisztere, az X-en közzétette, hogy a gyakorlat teljesen elfogadhatatlan, és a
Ez a Pentagon legmagasabb szintű, a Microsoft számára egyértelmű nyilvános megnövekedett közönség nem volt helye manőverezni. A jogalkotók felerősítették a nyomást, olyan szenátorokkal, mint Tom Cotton Az ellátási lánccikk és az igénylő fellépés felhívása. A Hegsethnek küldött levélben Cotton kijelentette, hogy egyértelmű, hogy a DOD-nak és a Kongresszusnak további lépéseket kell tennie az ilyen „bölcs-és felháborító gyakorlatok” ellen. Július 18-án, néhány nappal a történet eltörése után, Frank X. Shaw kommunikációs igazgató bejelentette a változást. A hozzászólás x , Shaw megerősítette: „A Microsoft változtatásokat hajtott végre az Egyesült Államok ügyfelei számára, hogy biztosítsák, hogy a„ Kínai alapú mérnöki csapatok nem nyújtanak technikai segítséget a DOD kormányzati felhőalapúinak. Az Escort”program nem volt elszigetelt esemény a vállalat számára. Ez hozzáadta a biztonság zavaró mintáját, amely sújtotta a Microsoftot és rontotta a bizalmat Washingtonban. A gyors elítélés a blank”> Blanking kormány jelentése egy 2023-as hack-hacket követi, a 2023-as hacket. E-mailek. Alig egy hónappal a kíséret történetének eltörése előtt a Microsoft elnöke, Brad Smith Testlizációt tett a kongresszus előtt , és intenzív megkérdőjelezéssel szembesült e nagyon kudarcok miatt. A legutóbbi kinyilatkoztatás csak a meglévő politikai nyomást erősítette meg, kényszerítve a társaság kezét. Target=”_ üres”> propublica jelentés augusztusban
A kizsákmányolás eredete nagyon ellentmondásos. A biztonsági szakértők úgy vélik, hogy a támadók a bennfentes szivárgásból kezdtek előadást, nem csak az okos hackelést. A bizonyítékok azt mutatják, hogy a kizsákmányolás július 7-én kezdődött, egy teljes nappal azelőtt, hogy a Microsoft kiadta hivatalos javítását. Ez arra késztette a kutatókat, hogy spekuláljanak, hogy a részletek kiszivárogtak a Microsoft Active Protections Programjáról (MAPP), amely a biztonsági szállítók számára a szabadon bocsátás előtti információkat adja meg. A javítás…”A spekuláció jelentős súlyt kapott, amikor Bloomberg jelentése Lehetőség. A kínai kormány határozottan tagadta az állításokat. David Mihelcic, a DISA korábbi CTO-ja tompaan értékelte a mögöttes kíséret program veszélyét: „Itt van egy olyan személyed, akiben valójában nem bízik, mert valószínűleg a kínai hírszerző szolgálatban vannak, és a másik nem igazán képes.”Értékes hozzáférés. Az epizód zavaró példa arra, hogy a misszió-kritikus rendszerekre alkalmazott költségmegtakarítási intézkedések miként vezethetnek be katasztrofális kockázatot.