La Junta de Revisión de Seguridad Cibernética de EE. UU. sobre el hackeo de Microsoft Exchange en 2023 La Junta de Revisión de Seguridad Cibernética de EE. UU. publicó un informe sobre el hackeo de Microsoft Exchange en el verano de 2023 por parte de China. Fue un ataque grave por parte del gobierno chino que accedió a los correos electrónicos de altos funcionarios del gobierno estadounidense. Del resumen ejecutivo: La Junta considera que esta intrusión se podía prevenir y nunca debería haber ocurrido. La Junta también concluye que la cultura de seguridad de Microsoft era inadecuada y requiere una revisión, particularmente a la luz de la centralidad de la empresa en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en la empresa para proteger sus datos y operaciones. La Junta llega a esta conclusión basándose en: la cascada de errores evitables de Microsoft que permitieron que esta intrusión tuviera éxito; La incapacidad de Microsoft para detectar el compromiso de sus joyas de la corona criptográfica por sí solo, confiando en cambio en que un cliente se acercara para identificar las anomalías que el cliente había observado; la evaluación de la Junta de las prácticas de seguridad en otros proveedores de servicios en la nube, que mantuvieron controles de seguridad que Microsoft no mantuvo; el hecho de que Microsoft no haya detectado un compromiso en la computadora portátil de un empleado de una empresa recientemente adquirida antes de permitirle conectarse a la red corporativa de Microsoft en 2021; La decisión de Microsoft de no corregir, de manera oportuna, sus declaraciones públicas inexactas sobre este incidente, incluida una declaración corporativa de que Microsoft creía haber determinado la probable causa raíz de la intrusión cuando, en realidad, todavía no lo ha hecho; aunque Microsoft reconoció ante la Junta en noviembre de 2023 que su publicación de blog del 6 de septiembre de 2023 sobre la causa raíz era inexacta, no actualizó esa publicación hasta el 12 de marzo de 2024, cuando la Junta estaba concluyendo su revisión y solo después de que la Junta repitiera cuestionar los planes de Microsoft de emitir una corrección; la observación de la Junta de un incidente separado, revelado por Microsoft en enero de 2024, cuya investigación no estaba dentro del alcance de la revisión de la Junta, que reveló un compromiso que permitió a un actor estatal diferente acceder a cuentas de correo electrónico corporativas de Microsoft altamente confidenciales. , repositorios de código fuente y sistemas internos; y cómo los omnipresentes y críticos productos de Microsoft, que sustentan los servicios esenciales que respaldan la seguridad nacional, los cimientos de nuestra economía y la salud y seguridad públicas, requieren que la empresa demuestre los más altos estándares de seguridad, responsabilidad y transparencia. El informe incluye un montón de recomendaciones. Vale la pena leerlo en su totalidad. La junta se estableció a principios de 2022, siguiendo el modelo de la Junta Nacional de Seguridad en el Transporte. Este es su tercer informe. Aquí hay algunos artículos de noticias. Etiquetas: China, correo electrónico, piratería, Microsoft, privacidad Publicado el 9 de abril de 2024 a las 09:56 • 2 comentarios Foto de la barra lateral de Bruce Schneier por Joe MacInnis.