Một công ty bảo mật cáo buộc Microsoft vô trách nhiệm khi xử lý các lỗ hổng, nó gây nguy hiểm cho tất cả người dùng của mình.
Một công ty an ninh mạng chỉ trích Microsoft bảo mật kém, không thể khắc phục nhanh các lỗ hổng ảnh hưởng lớn đến các khách hàng doanh nghiệp của công ty.
“Microsoft tuyên bố rằng họ sẽ khắc phục sự cố vào cuối tháng 9, sau bốn tháng chúng tôi thông báo cho họ,” Amit Yoran, Giám đốc điều hành của Tenable cho biết trong một bài đăng trên LinkedIn.
Theo Yoran, một nhà nghiên cứu bảo mật của Tenable đã phát hiện ra một lỗ hổng “nghiêm trọng” trong nền tảng điện toán đám mây Azure vào tháng 3 mà Microsoft đã cố tình giấu người dùng. Lỗ hổng này có thể cho phép tin tặc truy cập vào các ứng dụng và dữ liệu nhạy cảm, bao gồm các bí mật xác thực, từ các khách hàng doanh nghiệp sử dụng Azure.
Tenable đã thông báo cho Microsoft về vấn đề trên, tuy nhiên công ty đã không vá lỗ hổng này và quyết định khắc phục một phần nào bằng bản cập nhật nhỏ sau 90 ngày được thông báo. Thậm chí bản vá này chỉ áp dụng cho các ứng dụng mới được tải lên Azure, khiến các ứng dụng cũ hơn vẫn gặp rủi ro.
Hơn 120 ngày kể từ Tenable phát hiện đầu tiên, ngân hàng và các doanh nghiệp khác đã sử dụng nền tảng Azure trước khi được vá lỗi vẫn bị ảnh hưởng. Hơn nữa, Yoran cho rằng các Microsoft này có thể vẫn chưa hiểu rõ về mức độ ảnh hưởng từ lỗ hỗng, khiến công ty không thể đưa ra quyết định sáng suốt về các biện pháp khắc phục nhanh chóng.
Chỉ trích từ Yoran được đăng tải trên mạng xã hội sau khi Thượng nghị sĩ Ron Wyden cáo buộc Redmond vì “các hoạt động an ninh mạng cẩu thả” sau khi các tin tặc do nhà nước bảo trợ xâm phạm các dịch vụ của Microsoft hai lần: một lần trong vụ hack SolarWinds năm 2020 và một lần nữa trong vụ hack email dựa trên Outlook được tiết lộ gần đây.
Ông Wyden cũng đang kêu gọi các cơ quan liên bang điều tra Microsoft về các hoạt động an ninh mạng.
Về phần Microsoft, công ty cho biết họ đã giải quyết hoàn toàn lỗ hổng cho khách hàng. Về lý do tại sao bản vá được tung ra quá chậm, Microsoft cho biết cần có thời gian để phát triển một bản sửa lỗi chất lượng.