Microsoft Azure — карточный домик, который рушится под тяжестью уязвимостей
Microsoft подвергается жесткой критике за методы обеспечения безопасности своих облачных решений, включая Azure. Генеральный директор компании Tenable, занимающейся вопросами безопасности, Амит Йоран назвал Microsoft «грубо безответственной» и обвинил компанию в том, что она погрязла в «культуре токсичного запутывания».
Эти комментарии появились после того, как сенатор Рон Уайден выразил озабоченность «небрежной практикой кибербезопасности» Microsoft, которая якобы позволила китайским хакерам похитить сотни тысяч электронных писем клиентов облачных сервисов, включая сотрудников Государственного департамента и Министерства торговли США.
Последняя критика касается «критической» проблемы в Azure AD, облачном решении Microsoft для управления аутентификацией пользователей в крупных организациях.
Исследователи Tenable обнаружили, что исправление, предоставленное Microsoft, было неполным, что оставляло пользователей уязвимыми к несанкционированному доступу к данным и приложениям. Йоран рассказал, что его команда обнаружила секреты аутентификации в одном из банков и немедленно уведомила об этом Microsoft, однако компании потребовалось более 90 дней, чтобы реализовать частичное исправление.
Microsoft пока не ответила на мнение Йорана (а будет ли?).