Microsoft, uno dei giganti del software, ha subito un duro colpo alla sua reputazione dopo che un’indagine della ProPublica ha rivelato che la società ha ignorato gli avvertimenti di un ingegnere interno riguardo una grave vulnerabilità, che è stata poi sfruttata dagli hacker russi nel SolarWinds hack.
La vulnerabilità, risalente al 2016, riguardava il prodotto Active Directory Federation Services (ADFS) di Microsoft, che permetteva agli utenti di accedere a diversi servizi con un’unica autenticazione. Tuttavia, un ingegnere Microsoft, Andrew Harris, ha scoperto che questa funzione aveva una grave falla che poteva lasciare esposti milioni di utenti, inclusi dipendenti federali.
Harris ha segnalato la vulnerabilità al Microsoft Security Response Center (MSRC), che ha deciso di non intraprendere alcuna azione, sostenendo che i hacker avrebbero già dovuto avere accesso ai server dell’organizzazione per sfruttare la falla. L’ingegnere ha poi tentato di convincere i responsabili dei prodotti a risolvere il problema, ma senza successo.
La preoccupazione di Microsoft era che riconoscere pubblicamente la vulnerabilità avrebbe potuto danneggiare le sue possibilità di vincere contratti governativi per miliardi di dollari. Questa negligenza ha lasciato le porte aperte a uno dei più grandi attacchi informatici della storia americana.
Il SolarWinds hack ha colpito diversi enti governativi, tra cui il National Nuclear Security Administration, che gestisce l’arsenale nucleare degli Stati Uniti, e il Dipartimento del Tesoro, dove sono stati compromessi account di alto livello.
La negligenza di Microsoft nella gestione di questa vulnerabilità ha sollevato interrogativi sulla sua responsabilità e sulla sua etica aziendale. La società ha il dovere di proteggere i propri clienti e di prendere sul serio i rapporti di vulnerabilità, invece di ignorarli per salvaguardare i propri interessi commerciali.
Per evitare che simili incidenti si ripetano in futuro, Microsoft dovrebbe adottare le seguenti misure:
- Trasparenza: Microsoft dovrebbe essere trasparente sulle vulnerabilità e su come le affronta, invece di minimizzare il proprio ruolo e scaricare le colpe sui clienti.
- Ascolto: La società dovrebbe ascoltare i propri dipendenti e prendere sul serio i loro rapporti di vulnerabilità, invece di respingerli e ignorarli.
- Priorità alla sicurezza: Microsoft dovrebbe dare priorità alla sicurezza rispetto agli interessi commerciali, anche se ciò significa alienare alcuni clienti o perdere contratti.
- Miglioramento della gestione delle vulnerabilità: Microsoft dovrebbe rivedere e migliorare il proprio processo di gestione delle vulnerabilità, per garantire che vengano affrontate in modo tempestivo ed efficiente.
- Formazione sulla sicurezza: Microsoft dovrebbe investire in formazione sulla sicurezza per i propri dipendenti, in modo che siano in grado di identificare e segnalare le vulnerabilità in modo proattivo.
In conclusione, il SolarWinds hack è stato un campanello d’allarme per Microsoft e per l’intera industria della sicurezza informatica. La società deve imparare dalla sua negligenza e adottare misure concrete per garantire che simili incidenti non si ripetano in futuro. Solo attraverso la trasparenza, l’ascolto, la priorità alla sicurezza, il miglioramento della gestione delle vulnerabilità e la formazione sulla sicurezza, Microsoft potrà ripristinare la fiducia dei suoi clienti e rafforzare la sua posizione come leader nel settore della sicurezza informatica.
Fonte: https://www.propublica.org/article/microsoft-solarwinds-what-you-need-to-know-cybersecurity
