Người tố giác nội bộ cáo buộc Microsoft ưu tiên lợi nhuận hơn bảo mật

 (propublica.org)
1 điểm bởi GN⁺ 2024-06-14 | 1 bình luận | Chia sẻ qua WhatsApp

Người tố giác nội bộ cáo buộc Microsoft chọn lợi nhuận thay vì bảo mật, khiến chính phủ Mỹ dễ bị tấn công bởi tin tặc Nga

Bỏ qua cảnh báo từ nhân viên cũ

  • Nội dung chính: Cựu nhân viên Microsoft Andrew Harris cáo buộc công ty đã phớt lờ một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này đã bị tin tặc Nga sử dụng để xâm nhập nhiều cơ quan, trong đó có Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA).
  • Phát hiện của Harris: Harris phát hiện một lỗ hổng nghiêm trọng trong ứng dụng được dùng để cho phép người dùng đăng nhập vào các chương trình dựa trên đám mây trong các ứng dụng đám mây của Microsoft. Lỗ hổng này cho phép tin tặc giả mạo nhân viên hợp pháp để đánh cắp dữ liệu quan trọng.
  • Phản ứng của công ty: Harris đã báo lỗi này cho các đồng nghiệp, nhưng công ty đã phớt lờ vì lo ngại sẽ mất các hợp đồng với chính phủ. Microsoft nói sẽ chuẩn bị một giải pháp dài hạn, nhưng trong thời gian đó các dịch vụ đám mây vẫn ở trạng thái dễ bị tấn công.

Vụ hack SolarWinds

  • Vụ tấn công xảy ra: Sau khi Harris rời công ty, tin tặc Nga đã đánh cắp dữ liệu nhạy cảm của nhiều cơ quan liên bang thông qua vụ hack SolarWinds. Đây được xem là một trong những cuộc tấn công mạng lớn nhất trong lịch sử nước Mỹ.
  • Phương thức tấn công: Tin tặc đã lợi dụng lỗ hổng mà Harris phát hiện để đánh cắp dữ liệu của nhiều cơ quan liên bang, và vụ việc được mô tả là một hoạt động gián điệp nhằm thu thập thông tin trong thời gian dài.

Phản ứng của Microsoft

  • Lập trường chính thức: Microsoft khẳng định bảo vệ khách hàng là ưu tiên hàng đầu và cho biết mọi vấn đề bảo mật đều được rà soát kỹ lưỡng. Tuy nhiên, Harris chỉ trích rằng công ty đã đặt lợi nhuận lên trên khách hàng.
  • Văn hóa bảo mật: Microsoft bị chỉ trích là thiếu văn hóa bảo mật, và ngay trong nội bộ công ty, văn hóa ưu tiên lợi nhuận hơn bảo mật cũng bị xem là một vấn đề.

Ý kiến của GN⁺

  • Cân bằng giữa bảo mật và lợi nhuận: Nếu doanh nghiệp ưu tiên lợi nhuận hơn bảo mật, về lâu dài họ có thể đánh mất niềm tin của khách hàng. Điều này cuối cùng có thể tác động tiêu cực đến danh tiếng và doanh thu của công ty.
  • Quan hệ với chính phủ: Việc phớt lờ vấn đề bảo mật để duy trì hợp đồng với chính phủ có thể mang lại lợi ích ngắn hạn, nhưng về lâu dài có thể trở thành mối đe dọa lớn đối với an ninh quốc gia.
  • Cần cải thiện văn hóa bảo mật: Những tập đoàn lớn như Microsoft cần cải thiện văn hóa bảo mật và xây dựng hệ thống xử lý nhanh các vấn đề an ninh. Điều này rất quan trọng để duy trì niềm tin của khách hàng và bảo đảm thành công lâu dài.
  • Sản phẩm cạnh tranh: Cũng có những sản phẩm cạnh tranh như Okta, vốn tập trung nhiều hơn vào bảo mật. Doanh nghiệp cần cân nhắc nhiều lựa chọn để chọn ra giải pháp bảo mật tối ưu.
  • Những điểm cần cân nhắc khi áp dụng công nghệ: Khi đưa công nghệ mới vào sử dụng, cần rà soát kỹ các vấn đề bảo mật và xác định trước các lỗ hổng tiềm ẩn để chuẩn bị biện pháp ứng phó. Điều này rất quan trọng để ngăn chặn các cuộc tấn công mạng như hack.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-14
Ý kiến trên Hacker News

  • Mô hình Zero Trust: Điều quan trọng là phải xem mạng nội bộ của tổ chức như mạng bên ngoài và không đặt niềm tin tuyệt đối. Google đã triển khai điều này thông qua BeyondCorp để ngăn chặn xâm nhập từ bên trong.

  • Sự không nhất quán giữa bảo mật và lợi nhuận: Mâu thuẫn giữa bảo mật và lợi nhuận rất khó giải quyết nếu không có thay đổi về văn hóa. Hiện vẫn chưa rõ điều gì sẽ kích hoạt sự thay đổi đó.

  • Thực tế của an ninh mạng: Ngành an ninh mạng có xu hướng tập trung vào tuân thủ quy định hơn là bảo mật thực sự. Các tiêu chuẩn tuân thủ либо còn thiếu либо không được thực thi đúng cách.

  • Quan hệ giữa chính phủ và doanh nghiệp: Các công ty bán sản phẩm cho chính phủ có thể kiếm rất nhiều tiền, và vì thế đôi khi che giấu những mặt tiêu cực. Điều này dẫn đến sự xói mòn của đạo đức và tính trung thực cơ bản.

  • Động lực cho bảo mật: Các động lực khuyến khích bảo mật đang thiếu. Nhân viên bán hàng được thưởng theo thành tích, nhưng nhân viên bảo mật lại bị sa thải nếu không có kết quả. Điều này làm suy yếu văn hóa bảo mật.

  • Ưu tiên bảo mật: Những lời từ ban điều hành như "hãy ưu tiên bảo mật" không có nhiều ý nghĩa. Nếu không tưởng thưởng cho văn hóa bảo mật, nhân viên sẽ tối ưu theo các ưu tiên khác.

  • Cách tiếp cận bảo mật của Microsoft: CEO Microsoft là Satya Nadella nói rằng công ty ưu tiên bảo mật, nhưng trên thực tế lại tập trung vào quảng cáo và ghi lại hoạt động của người dùng.

  • Việc chính phủ dùng thẻ thông minh: Chính phủ Mỹ dùng xác thực bằng thẻ thông minh để tăng cường bảo mật. Tuy nhiên, nếu vô hiệu hóa Seamless SSO thì người dùng sẽ khó truy cập đám mây hơn.

  • Ưu tiên lợi nhuận: Phần lớn doanh nghiệp đặt lợi nhuận lên trên bảo mật. Đây không chỉ là vấn đề riêng của Microsoft.

  • Tấn công Golden SAML: Golden SAML không phải là một lỗ hổng mà là một kiểu tấn công. Nếu hạ tầng SSO bị xâm phạm thì mọi thứ đều gặp rủi ro.

  • Giải thích bằng phép so sánh: Có thể ví như một công ty xây cầu phớt lờ các khiếm khuyết kết cấu rồi để cây cầu sụp đổ; điều tương tự cũng đang xảy ra trong ngành CNTT.

  • Cần có quy định pháp lý: Cần có quy định pháp lý đối với bảo mật mạng. Nhận thức rằng công nghệ không thể tự quản lý mình đang ngày càng lan rộng. Nếu chính phủ Mỹ không còn tin tưởng đám mây của Microsoft thì cũng không có nhiều lựa chọn thay thế.