मायक्रोसॉफ्ट कॉर्पोरेशन सायबरसुरिटी कंपन्यांच्या सुरुवातीच्या सतर्क प्रणालीतून गळतीमुळे चिनी हॅकर्सना पॅच होण्यापूर्वीच त्यांच्या शेअरपॉईंट सेवेतील त्रुटींचे शोषण करण्याची परवानगी मिळाली की नाही याची तपासणी करीत आहे, या प्रकरणात परिचित लोकांच्या म्हणण्यानुसार.
सायबरसुरिटी तज्ञांना नवीन सुरक्षा चिंतेचा खुलासा करण्यापूर्वी संगणक प्रणालीचे निराकरण करण्याची संधी देण्यासाठी डिझाइन केलेले हा कार्यक्रम तंत्रज्ञान कंपनी शोधत आहे – यामुळे गेल्या अनेक दिवसांत जागतिक स्तरावर त्याच्या शेअरपॉईंट सॉफ्टवेअरमध्ये असुरक्षिततेचे व्यापक शोषण झाले, असे लोक म्हणाले, खासगी बाबींवर चर्चा न करता ओळखले जाऊ नये.
मायक्रोसॉफ्टच्या प्रवक्त्याने एका निवेदनात म्हटले आहे की, “आमच्या मानक प्रक्रियेचा एक भाग म्हणून आम्ही या घटनेचे पुनरावलोकन करू, सुधारण्यासाठी क्षेत्रे शोधू आणि त्या सुधारणा मोठ्या प्रमाणात लागू करू.”
वॉशिंग्टनमधील चिनी दूतावासाने या आठवड्याच्या सुरूवातीला परराष्ट्र व्यवहार मंत्रालयाचे प्रवक्ते गुओ जियाकुन यांनी माध्यमांना केलेल्या टिप्पण्यांचा उल्लेख केला. “सायबरसुरिटी हे सर्व देशांना सामोरे जाणारे एक सामान्य आव्हान आहे आणि संवाद आणि सहकार्याद्वारे संयुक्तपणे संबोधित केले पाहिजे,” गुओ म्हणाले. “चीन कायद्याच्या अनुषंगाने हॅकिंगच्या क्रियाकलापांना विरोध करते आणि मारामारी करते. त्याच वेळी, आम्ही सायबरसुरिटीच्या मुद्द्यांच्या निमित्त अंतर्गत चीनविरूद्ध स्मीअर्स आणि हल्ल्यांना विरोध करतो. ”
मायक्रोसॉफ्टने चीनमधील राज्य पुरस्कृत हॅकर्सना शेअरपॉईंट उल्लंघनाचे श्रेय दिले आहे आणि मायक्रोसॉफ्टच्या वेबसाइटनुसार मायक्रोसॉफ्ट अॅक्टिव्ह प्रोटेक्शन प्रोग्राम किंवा एमएपीपी नावाच्या या उपक्रमात कमीतकमी डझनभर चिनी कंपन्या भाग घेतात. 17 वर्षांच्या जुन्या प्रोग्रामच्या सदस्यांनी हे सिद्ध केले पाहिजे की ते सायबरसुरिटी विक्रेते आहेत आणि ते प्रवेश चाचणी सॉफ्टवेअर सारख्या हॅकिंग टूल्स तयार करत नाहीत. गैर-प्रकटीकरण करारावर स्वाक्षरी केल्यानंतर, मायक्रोसॉफ्टने त्यांना लोकांसमोर सोडण्यापूर्वी 24 तास आधी त्यांना असुरक्षिततेसाठी कादंबरी पॅचची माहिती प्राप्त केली.
मायक्रोसॉफ्टच्या एमएपीपी वेबसाइटच्या मते, उच्च-वेटेड वापरकर्त्यांच्या सबसेटला पाच दिवसांपूर्वी येणार्या पॅचच्या सूचना प्राप्त होतात.
सायबरसुरिटी कंपनीच्या ट्रेंड मायक्रो येथे शून्य दिवसाच्या पुढाकारासाठी धमकी जागरूकता प्रमुख डस्टिन चाइल्ड्स म्हणतात, मायक्रोसॉफ्टने या कार्यक्रमाच्या सदस्यांना शेअरपॉईंट हल्ल्यास कारणीभूत ठरलेल्या असुरक्षिततेबद्दल सतर्क केले. “हे दोन बग मॅपच्या रिलीझमध्ये समाविष्ट केले गेले होते,” ज्यांची कंपनी एमएपीपी सदस्य आहे, असे चाइल्ड्स म्हणतात. “गळतीची शक्यता नक्कीच आपल्या मनात ओलांडली आहे.” तो पुढे म्हणतो की अशा गळतीस हा कार्यक्रमासाठी एक भयानक धोका असेल, “तरीही मला असे वाटते की मॅपचे बरेच मूल्य आहे.”
अमेरिकेच्या राष्ट्रीय अणु सुरक्षा प्रशासनासह, देशातील अण्वस्त्रांची रचना व देखभाल करण्यासाठी जबाबदार विभाग या हल्ल्यांचा बळी आता जगभरातील government०० हून अधिक सरकारी संस्था आणि कंपन्या आहेत. कमीतकमी काही हल्ल्यांसाठी, मायक्रोसॉफ्टने चिनी सरकारने प्रायोजित केलेल्या गट, तसेच स्टॉर्म -२60०3 ला स्टॉर्म -२60०3 म्हटले आहे. या आरोपाला उत्तर देताना, चिनी दूतावासाने म्हटले आहे की यामुळे सर्व प्रकारच्या सायबरॅटॅकचा विरोध आहे, तसेच “ठोस पुरावा न घेता इतरांना गंध घालण्यास” असा आक्षेप आहे.
व्हिएतनामी सायबरसुरिटी फर्म व्हिएटेलसाठी काम करणारे डिनह हो अन खोआ, हे उघडकीस आले की शेअरपॉईंटला मे मध्ये पीडब्ल्यूएन 2 ओह येथे अज्ञात असुरक्षा आहेत, बालकांच्या संस्थेद्वारे चालविल्या जाणार्या बर्लिनमधील एक परिषद जिथे हॅकर्स स्टेजवर बसतात आणि थेट प्रेक्षकांसमोर गंभीर सुरक्षा असुरक्षिततेचा शोध घेतात. सार्वजनिक प्रात्यक्षिक आणि उत्सवानंतर, खोआ मुलांसह आणि मायक्रोसॉफ्टच्या प्रतिनिधीसह एका खासगी खोलीकडे निघाले, असे मुलांनी सांगितले. खोआने शोषणाचे तपशीलवार वर्णन केले आणि संपूर्ण श्वेतपत्रिका दिली. मायक्रोसॉफ्टने संशोधनाचे प्रमाणित केले आणि त्वरित निराकरण केले. कामासाठी खोआने $ 100,000 जिंकले.
मायक्रोसॉफ्टला निराकरण करण्यास सुमारे 60 दिवस लागले. July जुलै रोजी, पॅच जाहीरपणे जाहीर होण्याच्या आदल्या दिवशी हॅकर्सनी शेअरपॉईंट सर्व्हरवर हल्ला केला, असे सायबरसुरिटीच्या संशोधकांनी सांगितले.
हे शक्य आहे की हॅकर्सना स्वतंत्रपणे बग सापडले आणि त्याच दिवशी मायक्रोसॉफ्टने त्यांना मॅपच्या सदस्यांसह सामायिक केले त्याच दिवशी त्यांचे शोषण करण्यास सुरवात केली, असे मुलांचे म्हणणे आहे. परंतु तो जोडतो की हा एक अविश्वसनीय योगायोग असेल. दुसरी स्पष्ट शक्यता अशी आहे की एखाद्याने हल्लेखोरांसह माहिती सामायिक केली.
प्रलंबित पॅचच्या बातम्यांची गळती ही एक सुरक्षा अपयश ठरेल, परंतु “हे यापूर्वी घडले आहे,” असे सायबर फर्म सेंटिनेलोनचे वरिष्ठ धमकी संशोधक जिम वॉल्टर म्हणतात.
२०१२ पर्यंत मायक्रोसॉफ्टने हांग्जो डीपीटीएसी टेक्नॉलॉजीज कंपनी या चीनी नेटवर्क सुरक्षा कंपनीवर खिडकीतील मोठी असुरक्षितता उघडकीस आणणारी माहिती उघडकीस आणल्याचा आरोप २०१२ पर्यंतच्या कथित गळतीचा स्रोत ठरला आहे. मॅप ग्रुपमधून हांग्जो डीपीटीच काढून टाकले गेले. त्यावेळी मायक्रोसॉफ्टच्या एका प्रतिनिधीने एका निवेदनात म्हटले आहे की त्याने “विद्यमान नियंत्रणे बळकट केली आणि आमच्या माहितीचे अधिक चांगले संरक्षण करण्यासाठी कृती केली.”
2021 मध्ये, मायक्रोसॉफ्टला कमीतकमी दोन इतर चिनी एमएपीपी भागीदारांना एक्सचेंज सर्व्हरमधील असुरक्षिततेबद्दल माहिती गळती केल्याचा संशय आला, ज्यामुळे मायक्रोसॉफ्टने हाफ्नियम नावाच्या चिनी हेरगिरीच्या गटावर दोषारोप ठेवला. हे कंपनीच्या आतापर्यंतचे सर्वात वाईट उल्लंघन होते – युरोपियन बँकिंग अथॉरिटी आणि नॉर्वेजियन संसदेत हजारो एक्सचेंज सर्व्हर हॅक करण्यात आले.
2021 च्या घटनेनंतर कंपनीने एमएपीपी प्रोग्राममध्ये सुधारणा करण्याचा विचार केला, ब्लूमबर्गने पूर्वी सांगितले. परंतु शेवटी काही बदल केले गेले की काही गळती सापडली की नाही हे उघड झाले नाही.
२०२१ ची चिनी कायद्यानुसार अटलांटिक कौन्सिलच्या अहवालानुसार, सुरक्षा असुरक्षितता ओळखणार्या कोणत्याही कंपनी किंवा सुरक्षा संशोधकाने सरकारच्या उद्योग व माहिती तंत्रज्ञान मंत्रालयाला hours 48 तासांच्या आत अहवाल दिला पाहिजे. बीजिंग सायबरकुनलुन टेक्नॉलॉजी कंपनी लिमिटेडसारख्या एमएपीपीमध्ये सामील असलेल्या काही चिनी कंपन्या चीन सरकारच्या असुरक्षिततेच्या कार्यक्रमाचे सदस्य आहेत, चीनच्या राष्ट्रीय असुरक्षिततेचा डेटाबेस, जो देशाच्या राज्य सुरक्षा मंत्रालयाने चालविला आहे, असे चिनी सरकारी वेबसाइट्सनुसार.
इथ ज्यूरिचच्या सेंटर फॉर सिक्युरिटी स्टडीजचे संशोधक युजेनियो बेनिन्कासा म्हणतात की, चिनी कंपन्यांनी मायक्रोसॉफ्टने असुरक्षिततेचे रक्षण करण्याच्या त्यांच्या वचनबद्धतेला कसे संतुलित केले याबद्दल पारदर्शकतेचा अभाव आहे. बेनिन्कासा म्हणतात, “आम्हाला माहित आहे की यापैकी काही कंपन्या राज्य सुरक्षा एजन्सींशी सहकार्य करतात आणि असुरक्षितता व्यवस्थापन प्रणाली अत्यंत केंद्रीकृत आहे,” बेनिन्कासा म्हणतात. “हे निश्चितपणे एक क्षेत्र आहे जे जवळून छाननीची हमी देते.”
© 2025 ब्लूमबर्ग एलपी
