Microsoft telah membalikkan satu dekad yang panjang untuk menggunakan jurutera yang berpangkalan di China untuk sistem awan pentagon yang sensitif selepas amalan itu didedahkan, tetapi laporan baru menunjukkan syarikat itu gagal untuk mendedahkan skop penuh pengaturan berisiko tinggi ini kepada pegawai-pegawai yang diadakan. (DOD), menurut
Sherman kemudian menyimpulkan isu itu adalah”kes tidak bertanya soalan yang sempurna kepada vendor, dengan setiap keadaan dilarang yang dibayangkan.”Beliau menambah bahawa soalan seperti itu”akan merokok amalan gila’pengiring digital'”dan bahawa”syarikat perlu mengakui ini adalah salah dan komited untuk tidak melakukan perkara-perkara yang tidak lulus ujian akal.”Agensi Sistem Maklumat Pertahanan (DISA), agensi IT sendiri DOD, mengkaji dan menerima pelan keselamatan Microsoft. Jurucakap DISA pada mulanya memberitahu ProPublica,”Secara harfiah tiada siapa yang tahu apa-apa tentang ini,”menonjolkan betapa mendalam amalan itu dikebumikan. Kedua-dua FedRamp dan DOD bergantung kepada”organisasi penilaian pihak ketiga”kepada vendor doktor haiwan. Walau bagaimanapun, juruaudit bebas ini disewa dan dibayar secara langsung oleh syarikat yang dinilai. Sebagai contoh, Microsoft mengupah sebuah syarikat bernama Kratos untuk menguruskan penilaiannya. sasaran=”_ blank”> Restoran membayar untuk pemeriksa kesihatannya sendiri . Seorang bekas pekerja Microsoft yang biasa dengan proses itu menggambarkannya sebagai”memimpin saksi,”menyatakan,”Anda membayar hasil yang anda inginkan.”Gabungan pendedahan yang samar-samar dan pengawasan luar yang membolehkan amalan berisiko berterusan selama bertahun-tahun. Setiausaha Pertahanan A.S. Pete Hegseth mencatatkan pada x bahawa amalan itu tidak dapat diterima sepenuhnya, mengisytiharkan dalam
Tekanan itu dikuatkan oleh penggubal undang-undang, dengan senator seperti Tom Cotton post di x , Shaw mengesahkan,”Microsoft telah membuat perubahan kepada pelanggan kami Program”Pengiring Digital”bukanlah insiden terpencil bagi syarikat itu. Ia menambah corak kesulitan keselamatan yang mengganggu Microsoft dan terhakis kepercayaan di Washington. Kutukan pantas diikuti Laporan itu dari Lembaga Kajian Keselamatan Siber menyalahkan”kesilapan yang boleh dielakkan”dan budaya korporat yang”keselamatan yang kurang upaya.”Hanya sebulan sebelum cerita pengiring pecah, Presiden Microsoft Brad Smith Kisah sebelum Kongres , menghadapi persoalan yang kuat terhadap kegagalan ini. Wahyu terkini hanya menguatkan tekanan politik yang sedia ada, memaksa tangan syarikat itu. Target=”_ Blank”> Laporan ProPublica pada bulan Ogos
Asal eksploit adalah sangat kontroversial. Pakar-pakar keselamatan percaya penyerang mendapat permulaan dari kebocoran orang dalam, bukan hanya penggodaman pintar. Bukti menunjukkan eksploitasi bermula pada 7 Julai, sehari penuh sebelum Microsoft mengeluarkan patch rasminya. Ini telah menyebabkan para penyelidik membuat spekulasi bahawa butiran telah dibocorkan dari Program Perlindungan Aktif Microsoft (MAPP), yang memberikan maklumat patch pra-pelepasan vendor keselamatan. memintas patch…”Spekulasi mendapat berat badan yang ketara apabila
Microsoft dan Mandiant Google telah menyifatkan serangan awal kepada kumpulan yang ditaja oleh negara China, walaupun kempen itu cepat meningkat kepada jenayah kewangan dengan penempatan ransomware Warlock. Kerajaan China telah menafikan tuduhan tersebut. David Mihelcic, bekas CTO di DISA, secara terang-terangan menilai bahaya program pengiring yang mendasari:”Di sini anda mempunyai satu orang yang anda tidak percaya kerana mereka mungkin berada dalam perkhidmatan perisikan Cina, dan orang lain yang berkenaan, Akses yang berharga. Episod ini adalah contoh yang mengganggu bagaimana langkah penjimatan kos yang digunakan untuk sistem kritikal misi dapat memperkenalkan risiko bencana.