Ngày 20/5, Google công bố sách trắng dài 14 trang, chỉ ra sai sót trong phương pháp bảo mật của Microsoft. Hãng dẫn kết luận của Ủy ban đánh giá an toàn mạng Mỹ CSRB về cách xử lý của Microsoft trước cuộc tấn công vào máy chủ Exchange hồi năm 2021.
Khi đó, CSRB tỏ ra không hài lòng với gã khổng lồ Windows, chỉ trích tập đoàn thiếu kiến thức về an toàn thông tin, dẫn đến việc để tin tặc lấy đi khóa bảo mật. Hacker đã đột nhập được vào dịch vụ email lưu trữ trên Exchange Online. Cơ quan An ninh mạng và Cơ sở hạ tầng CISA của Mỹ khi đó yêu cầu toàn bộ cơ quan chính phủ cập nhật phần mềm, trước khi có biện pháp khắc phục triệt để.
Google dẫn kết luận của CSRB rằng Microsoft không biết hacker bằng cách nào lấy được mật khẩu máy chủ Exchange. Đây là "bằng chứng rõ ràng" cho thấy tập đoàn có thể không bảo vệ được chính hệ thống của mình lẫn an toàn của khách hàng trong các cuộc tấn công mạng sắp tới.
"Những thách thức về bảo mật lặp đi lặp lại với Microsoft buộc chúng ta phải tìm kiếm giải pháp thay thế tốt hơn cho doanh nghiệp cũng như khu vực công", Google nêu trong báo cáo.
Logo Microsoft tại triển lãm MWC tháng 2/2023. Ảnh: Lưu Quý
Công ty tin Workspace của họ sẽ là giải pháp an toàn hơn khi chứng minh được quy mô đầu tư và các biện pháp phòng thủ tiến tiến. Theo Bloomberg, Google đang có chiến dịch giảm giá cho doanh nghiệp, tổ chức chính phủ muốn chuyển từ dịch vụ của Microsoft sang Workspace Enterprise Plus.
Đại diện Microsoft trả lời PCMag về báo cáo của Google: "Chúng tôi đặt vấn đề bảo mật lên ưu tiên hàng đầu. Sáng kiến 'Tương lai an toàn' của Microsoft tập hợp mọi bộ phận của tập đoàn để nâng cao khả năng bảo vệ an ninh mạng trên các nền tảng và sản phẩm, đảm bảo lợi ích cho khách hàng trên khắp thế giới".
Thời gian qua, Microsoft gặp một số vấn đề nghiêm trọng liên quan đến bảo mật. Hồi tháng 1, công ty xác nhận tin tặc Nga truy cập được vào email của các lãnh đạo cấp cao trong tập đoàn. Một số cơ quan liên bang dùng dịch vụ của hãng có thể bị ảnh hưởng.
Một công ty an ninh mạng nói với PCMag rằng trong năm nay, Microsoft cũng để lộ tài khoản truy cập máy chủ Azure, nơi chứa dữ liệu về công cụ tìm kiếm Bing cũng như các tệp khác chứa mật khẩu. Sau đó, Microsoft tuyên bố máy chủ chỉ có thể truy cập được thông qua "mạng nội bộ".
Trước đó, Charlie Bell, Giám đốc bảo mật của Microsoft, cho biết tập đoàn sẽ nỗ lực và tăng cường biện pháp bảo mật sau những lỗ hổng nghiêm trọng được phát hiện. "Chúng tôi sẽ nâng cao trách nhiệm, đưa ra mức thù lao hợp lý cho nhóm lãnh đạo cấp cao của công ty dựa trên tiến độ đáp ứng kế hoạch và các cột mốc an ninh đạt được", ông nói.
Trong khi đó, The Guardian tuần trước đưa tin Google Cloud cũng mắc phải sai lầm nghiêm trọng khi "vô tình" xóa tài khoản riêng tư của quỹ hưu trí UniSuper (Australia), giá trị khoảng 125 tỷ USD. Hành động ảnh hưởng đến 620.000 thành viên UniSuper suốt một tuần. Sự cố khiến giới phân tích dấy lên nhiều lo ngại về tính bảo mật và độ tin cậy của dịch vụ đám mây của công ty.
