Alla fine di giugno, uno dei clienti di Steven Adair, fondatore dell’azienda Volexity ed ex esperto di sicurezza presso la NASA, ha ricevuto un avviso da parte di Microsoft: uno dei dipendenti del cliente che lavorava su questioni relative ai diritti umani aveva visto compromesso il proprio account di posta elettronica. Il cliente voleva sapere se Adair fosse in grado di andare a fondo della questione.

Adair ha immediatamente avviato un’indagine e si è scontrato con un muro. “Abbiamo analizzato ogni dettaglio relativo al comportamento di questo utente”, ha dichiarato Adair a Reuters, “ma non siamo riusciti a scoprire nulla”.

Gli hacker che si sono introdotti nelle e-mail del suo cliente sono lo stesso gruppo di spie informatiche che questa settimana Microsoft ha accusato di aver rubato le e-mail di alti funzionari statunitensi, tra cui dipendenti del Dipartimento di Stato e il Segretario al Commercio Gina Raimondo. Microsoft ha dichiarato che le violazioni non sono avvenute tramite il dirottamento di computer o il furto di password, ma sfruttando un problema di sicurezza di Outlook ancora non rivelato.

Poiché il cliente di Adair non pagava Microsoft per la sua suite di sicurezza premium, non erano disponibili dati forensi dettagliati e Adair non ha avuto modo di capire cosa fosse successo. “A quel punto siamo diventati praticamente degli spettatori”, ha dichiarato.

Adair sta ora spingendo affinché Microsoft fornisca gratuitamente i dati aggiuntivi ai suoi clienti; una campagna che ha preso piede dopo la violazione e che ha suscitato l’inquietudine degli ambienti governativi per le pratiche di sicurezza del gigante del software. Il senatore statunitense Ron Wyden ha dichiarato che Microsoft dovrebbe offrire a tutti i suoi clienti funzionalità forensi complete, affermando che “far pagare le persone per le funzioni premium necessarie per non essere violati è come vendere un’auto e poi far pagare un extra per le cinture di sicurezza e gli airbag”.

gestione delle vulnerabilità

In un post che ha descritto per la prima volta l’hacking nella tarda serata di martedì, Microsoft ha dichiarato che “la responsabilità inizia da noi” e che sta “continuamente autovalutando, imparando dagli incidenti e rafforzando le proprie difese”.

Per anni privati, organizzazioni e governi hanno spostato e-mail, fogli di calcolo e altri dati dai propri server a quelli di Microsoft, approfittando dei risparmi sui costi e dell’integrazione con Office. Allo stesso tempo, Microsoft ha promosso l’uso dei propri prodotti di sicurezza, spingendo alcuni clienti ad abbandonare quelli che consideravano programmi antivirus ridondanti.

Il processo di migrazione dei dati e dei servizi di un’organizzazione verso una grande azienda tecnologica viene talvolta definito “passaggio al cloud”. Può aumentare la sicurezza, soprattutto per le piccole organizzazioni che non hanno le risorse per gestire i propri reparti IT o di sicurezza, ma diversi concorrenti di Microsoft stanno lanciando l’allarme su come ampie fasce dell’industria e della pubblica amministrazione stiano effettivamente puntando tutto su un unico fornitore.

“Le organizzazioni devono investire nella sicurezza”, ha dichiarato Adam Meyers della società di cybersicurezza CrowdStrike. “Avere un unico fornitore monolitico responsabile di tutta la tecnologia, i prodotti, i servizi e la sicurezza può portare a un disastro”.

La frustrazione è anche dovuta alla struttura delle licenze di Microsoft, che fa pagare ai clienti un extra per la possibilità di vedere registri forensi dettagliati come quelli a cui Adair non ha potuto accedere. La questione è stata un punto di scontro tra l’azienda e il governo degli Stati Uniti da quando, nel 2020, è stato reso noto l’hacking della società di software aziendale SolarWinds.

Adair ha detto di capire che Microsoft vuole guadagnare con il suo prodotto di sicurezza premium, ma ha anche fatto notare che ulteriori attacchi degli hacker sono stati sventati solo perché qualcuno al Dipartimento di Stato, che aveva accesso al sistema più completo e costoso di Microsoft, ha notato un’anomalia nei dati forensi.