Генеральный директор компании Tenable, Амит Йоран, привлек внимание общественности, высказав свои опасения относительно подхода Microsoft к кибербезопасности, утверждая, что он еще хуже, чем может показаться. Он заявил, что компания не обращает должного внимания на вопросы защиты данных и затягивает процесс исправления собственных ошибок.
Последний крупный инцидент, связанный с кибербезопасностью, произошел 12 июля, когда хакерская группировка Storm-0558 из Китая атаковала облачную платформу Azure, затронув около 25 организаций и приведя к краже конфиденциальной переписки правительственных чиновников США. Эксперты считают, что Microsoft систематически игнорирует вопросы безопасности данных. Компания Tenable обнаружила еще одну уязвимость в инфраструктуре Azure, но Microsoft потребовалось слишком много времени для ее устранения.
Эта уязвимость была обнаружена в марте, и она предоставляла потенциальным злоумышленникам доступ к конфиденциальным данным, включая ресурсы одного из банков. Tenable связалась с Microsoft, чтобы сообщить об уязвимости, но исправление было внедрено только более чем через 90 дней, и применилось только к новым загружаемым приложениям. Организации, которые запустили сервис до выхода исправления, все еще подвержены уязвимости, и они, возможно, не осведомлены о риске.
Microsoft планирует окончательно решить проблему к концу сентября, но Амит Йоран характеризует этот срок как «крайнюю безответственность или даже вопиющее пренебрежение». К тому же, согласно информации Google Project Zero, 42,5% всех обнаруженных уязвимостей нулевого дня с 2014 года приходятся на продукты Microsoft. В отношении взлома Azure, компания Wiz сообщила, что последствия могут быть более серьезными, чем изначально предполагалось, но Microsoft опровергает этот вывод.
Отреагировал на критику Амита Йорана старший директор Microsoft, Джефф Джонс. Он подчеркнул, что компания ценит сотрудничество с кибербезопасным сообществом и отметил, что Microsoft следует обширной процедуре, включающей тщательное расследование, разработку обновлений для всех затронутых продуктов и тестирование совместимости. Он добавил, что разработка обновлений безопасности является тонким балансом между своевременностью и качеством, при котором защищаются клиенты и минимизируются помехи для них.