Lo que Microsoft hizo mal El informe de la Junta de Revisión de Seguridad Cibernética del DHS expone el hackeo chino y la respuesta de Microsoft con exquisito detalle, revelando lo que el Washington Post llama “prácticas de mala calidad en ciberseguridad, cultura corporativa laxa y una falta deliberada de transparencia” de Microsoft. El ataque fue diseñado por el grupo de hackers Storm-0558, cumpliendo las órdenes del servicio de espionaje más poderoso de China, el Ministerio de Seguridad del Estado. Storm-0558 tiene un historial de ataques relacionados con el espionaje a agencias gubernamentales y empresas privadas que se remonta al año 2000. Hasta ahora, la más conocida fue la Operación Aurora, sacada a la luz por Google en 2010. El Consejo de Relaciones Exteriores llamó ese ataque fue “un hito en la historia reciente de las operaciones cibernéticas porque elevó el perfil de las operaciones cibernéticas como una herramienta para el espionaje industrial”. Según el informe del DHS, el hackeo más reciente tuvo lugar después de que Storm-0558 tuviera en sus manos una “clave criptográfica de Cuenta de Servicios de Microsoft (MSA) 17 que Microsoft había emitido en 2016”. Usando la clave, Storm-0558 falsificó credenciales de usuario y las usó para iniciar sesión en cuentas gubernamentales y robar correos electrónicos de Raimondo, Burns, Bacon y otros. Hay otros misterios sin resolver. La clave solo debería haber podido crear credenciales para la versión para consumidores de Outlook Web Access (OWA), sin embargo, Storm-0558 la usó para crear credenciales para Enterprise Exchange Online, que utiliza el gobierno. Microsoft no puede explicar cómo se puede hacer eso. Hay cosas peores. Esa clave de 2016 debería haberse retirado en 2021, pero Microsoft nunca lo hizo porque la empresa tenía problemas para hacer que sus claves de consumo fueran más seguras. De modo que la clave, y presumiblemente muchas otras similares, seguían siendo tan poderosas como siempre. Y Storm-0558 hizo el trabajo sucio con él. Esta serie de eventos: a una clave que debería haber sido retirada se le permitió permanecer activa, el robo de la clave por parte de Storm-0558 robó la clave y luego la capacidad de Storm-0558 de usarla para falsificar credenciales para obtener acceso a cuentas de correo electrónico empresariales. utilizado por altos funcionarios del gobierno, aunque la clave no debería haberles permitido hacerlo, representa la “cascada de errores” que el DHS dijo que cometió Microsoft.