微軟(Microsoft)宣布其企業網路於2023年11月底被俄羅斯政府支持的駭客入侵,該次攻擊使一些高階主管和安全法務團隊的郵件與文件被盜。微軟表示,攻擊是透過一種叫做密碼潑灑(Password Spraying)的方式,入侵了一個測試帳戶,再利用這個帳戶的權限進入企業郵件帳戶。微軟直到攻擊發生七周後的1月12日才發現。
不過此測試帳戶似乎具備著不符合常規的設定,讓駭客能夠擴大攻擊範圍,進而訪問公司最高層和最敏感的員工帳戶。這也引起了外界的質疑,尤其是為什麼這個測試帳戶被賦予如此大的權限,測試結束後也沒有被取消。
■微軟遭駭客入侵,資安遭威脅(unsplash/Ed Hardie)
雖然微軟聲稱駭客未訪問客戶環境、生產系統、源代碼或人工智慧系統,但一些研究人員對Microsoft 365服務是否易受類似攻擊質疑。有部分經驗豐富的研究人員指出,微軟過去的做法已經過時,需要進行技術和文化的轉變以維護用戶信任。
未來,微軟面臨著保障企業安全的挑戰。他們需要積極採取措施,將技術進行優化並改變過往的文化等,以確保未來的安全性和信任度。同時,民眾可能因為對資料外洩的恐懼而停止支持微軟,微軟也應該在數位防禦和企業安全等方面重建並加強,進行更嚴格的管理與監控制度,以贏回民眾的信任。