U.S. Senator Ron Wyden wzywa Federalną Komisję Handlu (FTC) do zbadania Microsoft, oskarżając firmę o „zaniedbanie cyberbezpieczeństwa brutto.”
W liście wysłanym 10 września, Wyden twierdzi, że złe bezpieczeństwo Microsoft umożliwiło ogromny atak ransomware 2024 na system Ascension Hospital, raporty Bloomberg.
atak wpłynęło na prawie 5,6 miliona pacjentów . Wyden’s office found the breach started when a contractor clicked a malicious link on Microsoft’s Bing search engine.
The senator argues that this, along with other security wady, pozostawione infrastrukturę krytyczną wrażliwą. Chce, aby FTC pociągnęła do odpowiedzialności Microsoft.
Ruch eskaluje polityczny opad z jednego z najbardziej szkodliwych cyberataków w zeszłym roku. Umieszcza domyślne konfiguracje bezpieczeństwa Microsoft w intensywnej kontroli. Wynik może mieć szeroki wpływ na odpowiedzialność za oprogramowanie i standardy opieki w branży technologicznej.
Wyden oskarża Microsoft o „rażące zaniedbanie”
W swoim liście do FTC, senator Wyden podobno szczegółowo ustalił ustalenia z jego biura. Twierdzi, że brak wyłączenia Microsoftu przestarzały i niepewny protokół szyfrowania był kluczowym czynnikiem, który pozwolił hakerom na uzyskanie głębokiego dostępu do sieci Wniebowstąpienia.
List Square obwinia giganta technologicznego za opuszczenie infrastruktury krytycznej, w tym główne sieci szpitalne, wystawione na znane zagrożenia.
WYDEN ZA SYGNE SYGNE SYGNES A FTC APTITE W SUCKITE W SUCKITE W SUCKITE. Dostawcy odpowiedzialni za bezpieczeństwo swoich produktów. FTC jeszcze nie skomentowało.
Anatomia naruszenia wstąpienia
Naruszenie w Wniebowstąpieniu, jednym z największych narodowych systemów opieki zdrowotnej, zaczęło się 29 lutego 2024 r., Ale nie odkryto do 8 maja. Zmień karetki pogotowia i zawiesić operacje. Wniebowstąpienie odmówiło również komentarza.
Hakerzy wykupili ogromną poręczy wrażliwych danych. Obejmowało to dokumentację medyczną, numery ubezpieczenia społecznego i informacje finansowe należące do 5 599 699 osób. Powiadomienie o naruszeniu złożonym w prokuratorze generalnym Maine potwierdziło skalę incydentu.
Pobienie finansowe były również poważne. W raporcie fiskalnym z 17 września Wniebowstąpienie ujawniło, że cyberatak przyczynił się do oszałamiającej utraty marginesu operacyjnego o wartości 1,8 miliarda dolarów.
W odpowiedzi dostawca opieki zdrowotnej zaoferował dotkniętemu osobnikom 24 miesiące usług ochrony tożsamości od 19 grudnia 2024 r.
Microsoft odpowiada na krytykę bezpieczeństwa protokół kryptograficzny od dawna uważany za niepewny . Jego dochodzenie twierdzi, że atakujący wykorzystali ten słaby protokół, który pozostaje domyślnie włączony w niektórych środowiskach systemu Windows, aby zagrozić systemom Ascension.
Microsoft odsunął te twierdzenia. Rzecznik firmy Powiedziano reporters, że Microsoft wykłada RC4. lata . Firma stwierdziła, że protokół stanowi bardzo niewielki udział w ruchu sieciowym.
Firma obiecuje w końcu wyłączyć RC4 domyślnie w nowych instalacjach oprogramowania Active Directory, ale zmiana ta nie ma wpływu do 2026 r.