Софтуерният гигант Microsoft успешно се позиционира като един от основните играчи в света на клауд услугите. Платформата Azure се използва от много компании и осигурява инфраструктури и ресурси за всякакви сайтове, приложения, системи в множество индустрии.

Всичко това означава, че гигантът има много голяма отговорност – бизнесите на хиляди компании по света разчитат на услугите и те трябва да са добре защитени. Според изпълнителния директор на фирмата за киберсигурност Tenable обаче това далеч не е така, съобщава Ars technica.

Амит Йоран от Tenable казва, че Azure не е достатъчно сигурна и Microsoft e „непредпазлива“. Мерките за киберсигурност са недостатъчни и позволява на хакери да откраднат стотици хиляди имейли от клиенти на клауд услугите. Критиките на Йоран идват на фона на също остро негодувание от американския сенатор Рон Уайдън, който твърди, че от това са се възползвали китайски хакери и са взели множество данни, включително от експерти на американски институции. Сред откраднатите данни са и ключове за декриптиране на данни и за достъп до други клауд услуги.

Йоран казва, че има „критичен“ проблем в структурата на Microsoft Azure AD – част от облачните услуги на ИТ гиганта. Чрез нея се улеснява и управлява автентикацията на достъпа на потребители в системите на големи организации. Microsoft призна по-рано тази седмица, че действително е имало такъв проблем, за който е била уведомена още през март т.г.

16 седмици по-късно проблемът е бил оправен. Според Tenable обаче „кръпката“ не е достатъчна. Microsoft отговаря, че ще дефектът ще бъде отстранен напълно до 28-ми септември т.г.

„За да ви дадем представа колко лошо е това, нашият екип много бързо откри данните за удостоверяване на достъп на една банка. Тя беше толкова загрижена за сериозността на проблема, че незабавно уведомихме Microsoft“, пише Йоран в LinkedIn.

Той критикува Microsoft, че не са решили проблема достатъчно бързо. „Бяха им нужни над 90 дни за частично решение и то само за нови приложения“, допълва Йоран.

„Оценяваме сътрудничеството с общността по сигурността за отговорно разкриване на проблеми с продуктите. Ние следваме обширен процес, включващ задълбочено разследване, разработване на актуализации за всички версии на засегнатите продукти и тестване за съвместимост между други операционни системи и приложения. В крайна сметка, разработването на актуализация за сигурност е деликатен баланс между навременност и качество, като същевременно се гарантира максимална защита на клиентите с минимално прекъсване на работата на клиентите“, отговаря Microsoft.

Компанията казва, че проблемът вече е решен напълно за всички клиенти и от тях не се изискват допълнителни действия.

Йоран отговаря, че „или е решен, или сме блокирани от възможност да тестове. Не знаем какво е направено и нямаме достъп, за да кажем дали наистина проблемът е решен“. Той е недоволен, че софтуерният гигант не дава достатъчно обяснения и при други подобни ситуации и често остава неясно какво се случва с решаването на различни проблеми.