Microsoft has reversed a decade-long policy of using China-based engineers for sensitive Pentagon cloud systems after the practice was exposed, but new reports show the company failed to disclose the full scope of this high-risk arrangement to U.S. officials.
The tech giant’s policy shift in July 2025 came only after an investigation revealed a cost-saving workaround that created a major national security vulnerability at the heart of the U.S. Department of Defense (DOD), enligt A propublica utredning . Kontroversen har sedan eskalerat och kopplat praxis till ett stort programhack.
Ett misslyckande med avslöjande och övervakning
Kontroversen fördjupades med uppenbarelsen att Microsofts officiella säkerhetsplaner aktivt döljer dessa avgörande detaljer från regeringen. En”System Security Plan”i februari 2025 som lämnades till Pentagon beskrev en vag”eskorterad åtkomst”-policy för”icke-skärmad personal”, enligt en .
Crucially, the document made no mention that these personnel were foreign nationals, specifically engineers based in China—the top cyber adversary of USA. Denna avsiktliga utelämnande och snedhet i avslöjandet bidrog sannolikt till regeringens acceptans av en praxis som den inte förstod helt, som register visar.
Bristen på öppenhet hjälper till att förklara varför topp Pentagon-tjänstemän till synes var blindade. Tidigare DoD-chef för informationschef John Sherman, som sa att han tidigare inte var medveten om programmet, medgav,”Jag borde förmodligen ha vetat om detta.”Hans reaktion upprepades av andra tjänstemän som blev chockade av den bländande sårbarheten.
Sherman drog senare slutsatsen att frågan var ett”fall av att inte ställa den perfekta frågan till säljaren, med alla tänkbara förbjudna tillstånd som stavas ut.”Han tillade att en sådan fråga”skulle ha rökt ut denna galna praxis av”digitala eskorter””och att”företaget måste erkänna att detta var fel och åtagit sig att inte göra saker som inte klarar ett sunt förnuftprov.”
Övervakningsfel verkar ha varit systemiskt och djupgående. Defense Information Systems Agency (DISA), DOD: s egna IT-byrå, granskade och accepterade Microsofts säkerhetsplan. En talesman för DISA berättade ursprungligen till ProPublica,”Bokstavligen verkar ingen veta något om detta”, och framhäver hur djupt praktiken begravdes.
Denna situation belyser också potentiella intressekonflikter i själva Fedramp-processen. Både Fedramp och DoD förlitar sig på “utvärderingsorganisationer från tredje part” till veterinärleverantörer. Dessa oberoende revisorer anställs emellertid och betalas direkt av att företaget bedöms. Microsoft, till exempel, anlitade ett företag som heter Kratos för att hantera sina bedömningar.
kritiker, inklusive en tidigare tjänsteman i allmänna tjänster, hävdar att detta arrangemang presenterar en inneboende konflikt och liknar det med en href=”htte-computing-sekurering”Target=”_ blank”> Restaurang som betalar för sin egen hälsoinspektör . En tidigare Microsoft-anställd som är bekant med processen som beskrev den som”ledande vittnet”, säger”Du betalar för det resultat du vill ha.”Denna kombination av vag avslöjande och outsourcad övervakning gjorde det möjligt för den riskabla praxis att fortsätta i flera år.
Pentagon-motreaktion och en snabb reversering
Den offentliga reaktionen från Washington var omedelbar och allvarlig efter den inledande juli-rapporten. U.S. Secretary of Defense Pete Hegseth posted on X that the practice was entirely unacceptable, declaring in a widely circulated post, “foreign Ingenjörer-från vilket land som helst, inklusive naturligtvis Kina-bör aldrig tillåtas att underhålla eller få tillgång till DOD-system.”
Denna otvetydiga offentliga bestraffning från Pentagons högsta nivå lämnade Microsoft utan utrymme att manövrera. Trycket förstärktes av lagstiftare, med senatorer som Tom Cotton ropar ut försörjningen register och kräver. I ett brev till Hegseth uppgav bomull att det var tydligt att DoD och kongressen skulle behöva vidta ytterligare åtgärder mot en sådan”oklok-och upprörande-praxis.”
inför en politisk eldstorm, genomförde Microsoft en plötslig omvändning av dess decennium-långa politik. Den 18 juli, bara några dagar efter att berättelsen bröt, tillkännagav Chief Communications Officer Frank X. Shaw förändringen. I A post på x , Shaw bekräftade”Microsoft har gjort förändringar i vårt stöd för oss regeringskunder för att försäkra sig om att inga porslin-baserade teknik är att tillhandahålla tekniska och tillhörande modern regering. Programmet var inte en isolerad incident för företaget. Det ökade till ett oroande mönster av säkerhetsförfall som har plågat Microsoft och eroderat förtroende i Washington. Den snabba fördömningen följde en Scathing regering på en 20233-hackar som kom till 60-talet. E-postmeddelanden.
den rapporten från Cyber Safety Review Board skyllde en”kaskad av undvikbara fel”och en företagskultur som”deprioriterade säkerhet.”Bara en månad innan eskorthistorien bröt, Microsofts president Brad Smith vittnade före kongressen , inför intensiv fråga om dessa mycket misslyckanden. Den senaste uppenbarelsen förstärkte bara det befintliga politiska trycket och tvingade företagets hand.
SharePoint Hack Connection antecknar ytterligare upprörelse
Skandalen tog en annan alarmerande vändning när en efterföljande ProPublica-rapport i augusti avslöjade att användningen av kinesiska ingenjörer inte var begränsad till molninfrastruktur. Ett Kina-baserat team var också direkt ansvarigt för att upprätthålla och fixa buggar i Microsofts lokala SharePoint-programvara, som rapporterats av Winbuzzer.
Detta är samma”OnPrem”-version av programvaran som är riktad i det senaste”ToolShell”(CVE-2025-5370) hacking-kampanjen. Utnyttjandet komprometterade över 400 organisationer, inklusive delar av U.S. Department of Homeland Security. Som svar erkände Microsoft praxis och sade:”Arbetet pågår redan för att flytta detta arbete till en annan plats”, som speglade sin reaktion på Pentagon Cloud-kontroversen.
“Toolshell”-attacken var en sofistikerad”patch bypass”som stal en servers kryptografiska maskinnycklar, vilket gav djupt och persistent åtkomst. Cybersecurity Firm Eye Security, som först upptäckte kampanjen, varnade för att detta gjorde sanering svårt och noterade,”Patching ensam löser inte problemet.”Den amerikanska CISA underströk faran, med uppgift om utnyttjandet ger”obehindrad tillgång till system och gör det möjligt för skadliga aktörer att fullt ut få tillgång till SharePoint-innehåll.”
Ursprunget till exploaten är mycket kontroversiellt. Säkerhetsexperter tror att angriparna fick ett försprång från en insiderläcka, inte bara smart hacking. Bevis visar att exploatering började den 7 juli, en hel dag innan Microsoft släppte sin officiella patch. Detta har lett till att forskarna spekulerar i att detaljer läckte ut från Microsofts Active Protection Program (MAPP), som ger säkerhetsleverantörer före utsläppsinformation. förbikopplar lappen…”Spekulationen fick betydande vikt när
