2min

Een geheime interne database van Microsoft voor informatie over bugs in eigen software is in 2013 opengebroken door een hackersgroep. Dat beweren althans vijf voormalig medewerkers in gesprek met Reuters. Microsoft lichtte het publiek en zijn klanten na ontdekking in 2013 niet in over de omvang van de aanval.

De database bevatte omschrijvingen van niet gerepareerde kwetsbaarheden in veelgebruikte software. Onder meer Windows-bugs vallen eronder, een besturingssysteem dat het meestgebruikt wordt door pc’s. Eric Rosenbach, die destijds een hoge ambtenaar voor cybercrime was, geeft aan dat kwaadwillenden met toegang tot de informatie een “skeleton key” hadden voor honderden miljoenen computers over de hele wereld.

De kwetsbaarheden zijn gerepareerd binnen enkele maanden na de hack, zo geven de oud-werknemers aan. Toch ontstond er paniek door de hack, aangezien de cybercriminelen de data konden gebruiken om andere aanvallen uit te voeren. Die zouden zich dan weer verspreiden over overheden en bedrijfsnetwerken.

Na ontdekking keek Microsoft of andere organisaties door de inbreuk getroffen waren, zo geven de werknemers aan. Daarbij werd geen bewijs gevonden dat de bemachtigde informatie op een dergelijke manier misbruikt is. Twee huidige werknemers geven aan dat Microsoft achter de conclusie staat, terwijl drie van de voormalig werknemers aangeven dat er te weinig data was om een goede conclusie te trekken.

Reactie

Hoewel Microsoft tegenover Reuters weigert de zaak specifiek te bespreken, schrijft het bedrijf in een e-mail het volgende: “Ons beveiligingsteam monitort cyberbedreigingen actief om ons te helpen bij prioriteiten stellen en de juiste maatregelen nemen om onze klanten beveiligd te houden.” Inmiddels hebben veel bedrijven, waaronder Microsoft, beloningssystemen voor het melden van kwetsbaarheden.

Microsoft scherpte de beveiliging na de hack aan door de database niet meer te afhankelijk laten zijn van het bedrijfsnetwerk. Anderzijds is er voortaan ook tweestapsverificatie vereist. Daarmee lijkt Microsoft op tijd zijn les geleerd te hebben, aangezien bedrijven en autoriteiten vaak het slachtoffer van hacks zijn.