Home तकनीक और ऑटो Microsoft सोलरवाइंड हैक को सीमित कर सकने वाली समस्याओं को ठीक करने...

Microsoft सोलरवाइंड हैक को सीमित कर सकने वाली समस्याओं को ठीक करने में विफल रहा: अमेरिकी सीनेटर


अपने क्लाउड सॉफ़्टवेयर के साथ ज्ञात समस्याओं को ठीक करने में Microsoft की विफलता ने बड़े पैमाने पर SolarWinds हैक की सुविधा दी जो सुरक्षा विशेषज्ञों और अमेरिकी सीनेटर रॉन वेडन के कार्यालय के अनुसार कम से कम नौ संघीय सरकारी एजेंसियों से समझौता करती है।

2017 में शोधकर्ताओं द्वारा सार्वजनिक रूप से प्रकट की गई एक भेद्यता हैकर्स को ग्राहकों की क्लाउड सेवाओं तक पहुंच प्राप्त करने के लिए अधिकृत कर्मचारियों की पहचान को नकली बनाने की अनुमति देती है। तकनीक कई में से एक थी ओरियन हैक।

सीनेट इंटेलिजेंस कमेटी के सदस्य के रूप में सुरक्षा और गोपनीयता के मुद्दों पर तकनीकी कंपनियों को दोष देने वाले वेडन ने विस्फोट किया माइक्रोसॉफ्ट जाली पहचान को रोकने के लिए अधिक नहीं करने या इसके बारे में ग्राहकों को चेतावनी देने के लिए।

“संघीय सरकार माइक्रोसॉफ्ट सॉफ्टवेयर पर अरबों खर्च करती है,” वेडन ने शुक्रवार को प्रतिनिधि सभा में सोलरविन्ड्स की सुनवाई के आगे रायटर को बताया।

उन्होंने कहा, “इससे पहले कि हम यह पता लगाएं कि कंपनी को हैकिंग तकनीक के बारे में सरकार को चेतावनी क्यों नहीं दी गई है, जिसका इस्तेमाल रूसी लोग करते थे, जिसे माइक्रोसॉफ्ट कम से कम 2017 से जानता था।”

Microsoft अध्यक्ष ब्रैड स्मिथ शुक्रवार को हाउस कमेटी सोलरवाइंड हैक की जांच से पहले गवाही देगी।

अमेरिकी अधिकारियों ने बड़े पैमाने पर खुफिया ऑपरेशन के लिए रूस को दोषी ठहराया है, जो सोलरविन्ड्स में घुस गया, जो कई सरकारों और लगभग 100 कंपनियों से डेटा चोरी करने के लिए नेटवर्क, साथ ही माइक्रोसॉफ्ट और अन्य को प्रबंधित करने के लिए सॉफ्टवेयर बनाता है। रूस ने जिम्मेदारी से किया इनकार

माइक्रोसॉफ्ट ने रॉयटर्स को बताते हुए विडेन के निष्कर्षों को विवादित किया कि इसकी पहचान सेवाओं का डिज़ाइन दोषपूर्ण नहीं था।

10 फरवरी को वेडन के लिखित प्रश्नों के जवाब में, एक Microsoft लॉबीस्ट ने कहा कि पहचान की चाल, जिसे गोल्डन एसएएमएल के रूप में जाना जाता है, “वास्तविक हमले में कभी भी इसका इस्तेमाल नहीं किया गया था” और “खुफिया समुदाय द्वारा जोखिम के रूप में प्राथमिकता नहीं दी गई थी, न ही यह था।” नागरिक एजेंसियों द्वारा ध्वजांकित किया गया। ”

लेकिन सोलरविंड हैक के बाद एक सार्वजनिक सलाह में, 17 दिसंबर को, राष्ट्रीय सुरक्षा एजेंसी ने पहचान सेवाओं की बारीकी से निगरानी करने का आह्वान किया, यह देखते हुए कि, “इस SAML जालसाजी की तकनीक को कम से कम 2017 के बाद से साइबर अभिनेताओं ने जाना और इस्तेमाल किया है।”

इस सप्ताह वेडन से अतिरिक्त सवालों के जवाब में, Microsoft ने स्वीकार किया कि क्लाउड एक्सेस देने के लिए पहचान उपकरणों की चोरी का पता लगाने के लिए इसके कार्यक्रम स्थापित नहीं किए गए थे।

अटलांटिक काउंसिल में साइबर स्टेटक्राफ्ट इनिशिएटिव के निदेशक ट्रे हेरे ने कहा कि विफलता से पता चलता है कि बादल सुरक्षा जोखिम उच्च प्राथमिकता होनी चाहिए।

हैकर्स की पहचान का परिष्कृत दुरुपयोग “क्लाउड कंप्यूटिंग के दिग्गज सुरक्षा में निवेश कैसे करते हैं, इस विषय में एक कमजोर कमजोरी को उजागर करता है, शायद अपने सुरक्षा मॉडल की जड़ में सिस्टम में उच्च प्रभाव, कम संभावना विफलताओं के जोखिम को पर्याप्त रूप से कम करने में विफल”, हेरे ने कहा।

मंगलवार को कांग्रेस की गवाही में, माइक्रोसॉफ्ट के स्मिथ ने कहा कि सोलर विंड्स अभियान में पीड़ितों में से केवल 15 प्रतिशत ही गोल्डन एसएएमएल के माध्यम से आहत हुए थे। यहां तक ​​कि उन मामलों में हैकर्स को विधि को लागू करने से पहले ही सिस्टम तक पहुंच प्राप्त करनी चाहिए थी।

लेकिन वेडन के कर्मचारियों ने कहा कि उन पीड़ितों में से एक अमेरिकी ट्रेजरी था, जिसने दर्जनों अधिकारियों के ईमेल खो दिए थे।

© थॉमसन रायटर 2021


क्या सैमसंग गैलेक्सी S21 + अधिकांश भारतीयों के लिए एकदम सही है? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट, Google पॉडकास्ट, या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।





Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Recent Comments