Microsoft har vendt en tiår lang politikk for å bruke Kina-baserte ingeniører for sensitive Pentagon Cloud System (DoD), ifølge A Propublica Investigation . Kontroversen har siden eskalert, og koblet praksisen til et stort programvare hack.
en svikt i avsløringen og tilsynet
Kontroversen ble utdypet med avsløringen om at Microsofts offisielle sikkerhetsplaner aktivt skjulte disse viktige detaljene fra regjeringen. En februar 2025″System Security Plan”sendt til Pentagon beskrev en vag”eskortert tilgang”-policy for”ikke-screened personell”, ifølge A .
Crucially, the document made no mention that these personnel were foreign nationals, specifically engineers based in China—the top cyber adversary of the USA. Denne bevisste unnlatelse og skråhet i avsløringen bidro sannsynligvis til regjeringens aksept av en praksis den ikke fullstendig forsto, som poster viser.
Mangelen på åpenhet hjelper til med å forklare hvorfor topp Pentagon-tjenestemenn var tilsynelatende blendet. Tidligere informasjonssjef John Sherman, som sa at han tidligere ikke var klar over programmet, innrømmet:”Jeg burde nok ha visst om dette.”Hans reaksjon ble gjentatt av andre tjenestemenn som ble sjokkert over den blendende sårbarheten.
Sherman konkluderte senere med at problemet var et”tilfelle av ikke å stille det perfekte spørsmålet til leverandøren, med alle tenkelige forbudte tilstander stavet ut.”Han la til at et slikt spørsmål”ville ha røkt ut denne vanvittige praksisen med”digitale eskorter”, og at”selskapet trenger å innrømme at dette var galt og forplikte seg til å ikke gjøre ting som ikke passerer en sunn fornuftstest.”
Tilsynssvikt ser ut til å ha vært systemisk og dyptgående. Defense Information Systems Agency (DISA), DODs eget IT-byrå, gjennomgikk og aksepterte Microsofts sikkerhetsplan. En talsperson for DISA fortalte opprinnelig til ProPublica,”bokstavelig talt ser ingen ut til å vite noe om dette,”og fremhever hvor dypt praksisen ble begravet.
Denne situasjonen belyser også potensielle interessekonflikter i selve FedRamp-prosessen. Både Fedramp og DoD er avhengige av”tredjeparts vurderingsorganisasjoner”til veterinærleverandører. Imidlertid blir disse uavhengige revisorene ansatt og betalt direkte av selskapet som blir vurdert. Microsoft, for instance, hired a company named Kratos to manage its assessments.
Critics, including a former General Services Administration official, argue this arrangement presents an inherent conflict, likening it to a Restaurant som betaler for sin egen helseinspektør . En tidligere Microsoft-ansatt som er kjent med prosessen beskrev det som”ledende vitnet”, og sa:”Du betaler for utfallet du ønsker.”Denne kombinasjonen av vag avsløring og outsourcet tilsyn gjorde at den risikable praksisen vedvarte i årevis.
Pentagon-tilbakeslag og en rask reversering
Den offentlige reaksjonen fra Washington var øyeblikkelig og alvorlig etter den første julirapporten. U.S. Secretary of Defense Pete Hegseth posted on X that the practice was entirely unacceptable, declaring in a widely circulated post, “foreign Ingeniører-fra ethvert land, inkludert selvfølgelig Kina-, bør aldri få lov til å opprettholde eller få tilgang til DoD-systemer.”
Denne entydige offentlige irettesettelse fra Pentagons høyeste nivå forlot Microsoft uten å manøvrere seg. Presset ble forsterket av lovgivere, med senatorer som Tom Cotton ringer ut den forsyningsrike Risks
som står overfor en politisk ildstorm, utførte Microsoft en brå reversering av sin tiårlige politikk. 18. juli, bare dager etter at historien brøt, kunngjorde Chief Communications Officer Frank X. Shaw endringen. I en Innlegg på x SERVERSJONER SHAW ANDRE/PER-MICROST-teamet har gjort endringer for amerikanske myndigheter for å sikre at ingen Kina-baserte ingeniørgruppen er til å hjelpe deg med å sikre teknisk. “Digital Escort”-program var ikke en isolert hendelse for selskapet. Det ga et urovekkende mønster av sikkerhet bortfall som har plaget Microsoft og erodert tillit til Washington. Den raske fordømmelsen fulgte en scathing regjeringsrapport Avdelingsmail.
som rapporterer fra Cyber Safety Review Board beskyldte en”kaskade av unngåelige feil”og en bedriftskultur som”deprioriterte sikkerhet.”Bare en måned før eskortehistorien brøt, Microsoft-president Brad Smith vitnet før kongressen , som står overfor intense spørsmål over disse feilene. Den siste åpenbaringen forsterket bare det eksisterende politiske presset, og tvang selskapets hånd.
SharePoint Hack-tilkobling tenner ytterligere forargelse
Skandalen tok en annen alarmerende sving da en påfølgende Propublica-rapport i august avslørte at bruken av kinesiske ingeniører ikke var begrenset til skyinfrastruktur. Et Kina-basert team var også direkte ansvarlig for å vedlikeholde og fikse feil i Microsofts lokale SharePoint-programvare, som rapportert av Winbuzzer.
Dette er den samme “OnPrem”-versjonen av programvaren som er målrettet i den nylige”Toolshell”(CVE-2025-53770) hacking-kampanjen. Utnyttelsen kompromitterte over 400 organisasjoner, inkludert deler av U.S. Department of Homeland Security. Som svar erkjente Microsoft praksisen og uttalte:”Arbeid er allerede i gang for å flytte dette arbeidet til et annet sted,”speiler reaksjonen på Pentagon Cloud-kontroversen.
“Toolshell”-angrepet var en sofistikert”patch bypass”som stjal en serverens kryptografiske maskinnøkler, og ga dyp og vedvarende tilgang. Cybersecurity-firmaet Eye Security, som først oppdaget kampanjen, advarte om at dette gjorde sanering vanskelig, og bemerket:”Lapping alene løser ikke problemet.”Den amerikanske CISA understreket faren, og oppgir at utnyttelsen gir”uauthentisert tilgang til systemer og gjør det mulig for ondsinnede aktører å få tilgang til SharePoint-innholdet.”
Utnyttelsesens opprinnelse er svært kontroversielt. Sikkerhetseksperter mener angriperne fikk et forsprang fra en innside-lekkasje, ikke bare smart hacking. Bevis viser at utnyttelse startet 7. juli, en hel dag før Microsoft ga ut sin offisielle oppdatering. Dette har ført til at forskere spekulerte i at detaljer ble lekket fra Microsofts Active Protection Program (MAPP), som gir sikkerhetsleverandører før informasjon.
Dustin Childs of Trend Micros Zero Day-initiativ kalt en nullutvikling i det vilt, og du har en nullutvikling i løpet av det vilt, og nå har du et nullutvikling i løpet av det vilje, og nå har du et nullutvikling i det vilt, og nå har du et nullutvikling i det vilt, og nå har du et nullutvikling i det vilt, og nå har du en nullutvikling i det vilt, og nå har du et nullutvikling i det vilt, og nå har du en nullutvikling i det vilt, og nå har du et nullutvikling i det vilt, og nå har du en nullutvikling i den vilt, og nå har du det en viss. Oppdateringen…”Spekulasjonene gikk betydelig opp når