位在美國洛杉磯的微軟辦公室招牌。路透社
美國多名政府高官的電郵今年稍早遭中國駭客攻擊,這些電郵服務均由微軟提供。有國會議員要求對微軟展開三項獨立調查,痛批微軟未遵守網安基本規則。研究指出,微軟建議客戶經常更換金鑰,自己的金鑰卻沿用多年,讓駭客取得金鑰後如入無人之境,可四處窺看美國政府官員的電郵。
美國政府本月稍早
證實,美國商務部長雷蒙多(Gina Raimondo)、國務院亞太助卿康達(Daniel Kritenbrink)、美國駐中大使伯恩斯(Nicholas Burns)等官員的電郵均在今年5、6月間被駭。這些由微軟提供的電郵信箱只處理非機密郵件。
《華爾街日報》27日報導,美國國會已針對此事展開連番質詢,關注網路安全議題的聯邦參議員懷登(Ron Wyden)指微軟「網安執行怠忽職守」,對於這次中國入侵美國政府官員電郵「要負重大責任」。
微軟先前坦言,MSA數位簽署金鑰可用於微軟的消費者產品,但因微軟的雲端系統有漏洞,駭客可用竊得的MSA金鑰駭入該公司客戶的資料,這些客戶包括企業與政府機構。
擁有MSA金鑰「想冒充誰都行」雲端安全公司Wiz共同創辦人拉特瓦克(Ami Luttwak)指出,MSA金鑰是「最珍貴的秘密」,擁有它「就像擁有一台能印出全世界所有護照的印刷機:你想冒充誰都行」。
研究人員發現,微軟被盜的MSA金鑰是2016年發出,直到發現政府官員電郵遭駭後幾週,微軟才讓它失效。微軟發言人坦言,這項發現是該公司先前未觀察到的。
懷登指出,聯邦政府的網安指引、企業界的網安守則、甚至連微軟自己向客戶發出的建議,都說加密金鑰應經常更換,「原因就是它們可能遭竊取」。
美議員要求三大部門調查微軟懷登已分別致函司法部、聯邦貿易委員會(FTC)、網路安全與基礎設施安全局等三大機關,要求對微軟進行三項各自獨立的聯邦調查,包括微軟是否違反政府承包商網安措施的相關法律、為何政府稽核未發現如此明顯的安全漏洞等。
美國政府迄未正式宣布這起駭客攻擊與中國有關,不過微軟已主動表示,發動攻擊者是來自中國的駭客團體;美國官員與國會議員也直指北京是主謀。
微軟指出,這次攻擊的受害者遍及全球二十多個組織,其中在美國的不到10個。美國官員表示,這次網攻是針對具高度情報價值的特定人士,只有少數官員的帳號被駭。