報道引述多達5名微軟前員工指出,這個(gè)資料庫包含了許多常用軟件也包含Windows作業(yè)系統的重大及未修補漏洞資訊。微軟對此拒絕評論。
該報道指出,微軟在2013年初發(fā)現資料庫遭到黑客入侵,當時(shí)黑客團體已經(jīng)前後入侵多家軟件公司,包括蘋(píng)果、臉書(shū)、推特等。這個(gè)被稱(chēng)為Morpho、Butterfly及Wild Neutron團體入侵Mac電腦上的Java軟件漏洞後,再進(jìn)入微軟公司網(wǎng)絡(luò )。不過(guò)這個(gè)黑客團體和政府部門(mén)是否有關(guān)聯(lián),安全專(zhuān)家們說(shuō)法莫衷一是。
微軟當時(shí)曾簡(jiǎn)短聲明承認遭到入侵,包括Mac部門(mén)在內的一小部分電腦曾遭到惡意程式感染。微軟并未詳細說(shuō)明情形,只表示沒(méi)有證據顯示有客戶(hù)資料受到影響。
消息人士指出,這個(gè)資料庫原本防護薄弱,可能只設了密碼而已。事發(fā)後微軟立刻拉高安全層級,將該資料庫自公司網(wǎng)絡(luò )下線(xiàn),還增設二種存取驗證機制。而由於微軟的漏洞影響層面廣大,微軟決定不公布此事,同時(shí)在接下來(lái)幾個(gè)月內,盡速將自有軟件的漏洞修補程式派送給客戶(hù),但也不排除已經(jīng)有人成功取得這些漏洞資訊,用它來(lái)黑入民間公司或其他國家的網(wǎng)絡(luò )及系統。之後微軟也曾多次辦理爬蟲(chóng)大賽,以加速產(chǎn)品漏洞的發(fā)現及修補。
此事在維基解密及媒體揭露政府單位如美國國安局(NSA)、中情局(CIA)建立攻擊工具軍火庫後格外的引人矚目,原因是這些單位曾被爆為了情采目的,積極采集軟件公司的漏洞,甚至發(fā)現後卻對軟件業(yè)者隱匿不報。
而這些政府工具和資料一旦外流後果不堪設想。今年引發(fā)全球災情的WannaCry,即是黑客利用NSA外泄的竊密工具入侵微軟軟件漏洞的結果。
