Microsoft verzweeg hack van interne bug database

Microsoft-CEO Satya Nadella © Reuters

De interne database van Microsoft om bugs in zijn eigen software op te volgen werd in 2013 gehackt. Het bedrijf heeft dat bewust verzwegen, ook nu vijf ex-medewerkers naar voren treden.

Persbureau Reuters sprak afzonderlijk met vijf voormalige werknemers van Microsoft die zeggen dat de database in 2013 werd gehackt. Die bevat beschrijvingen van kritieke en onopgeloste lekken in Microsoft’s software, waaronder Windows. Een goudmijn voor hackers en spionnen want het gaat om zwakke plekken die nog niet zijn opgelost.

Volgens de vijf zijn de lekken in kwestie in de maanden nadien hoogstwaarschijnlijk wel aangepakt, maar het gaf hackers destijds een breed tijdslot om gebruikers en bedrijven aan te vallen.

Wel gewaarschuwd, niet concreet

Microsoft heeft technisch gezien wel gewaarschuwd voor de inbreuk. Toen begin 2013 hackers konden inbreken bij onder meer Apple, Facebook en Twitter, zei ook Microsoft dat ze slachtoffer waren geworden van een inbraak. Maar het bedrijf was er snel bij om te zeggen dat de impact beperkt was. Over een gehackte bug database werd toen niets gezegd.

Nadien zou het bedrijf wel onderzoek hebben gevoerd om na te gaan of de bugs uit de database werden misbruikt bij inbreuken. Microsoft concludeerde toen dat dat niet het geval was, of dat het ook via inbreuken bij andere organisaties kon. Maar twee van de vijf getuigen zeggen tegenover Reuters dat het bedrijf over te weinig data beschikte om hier grondige conclusies uit te trekken.

Verwijten wat je zelf doet

Omdat de hack uit 2013 dateert, lijkt de kans klein dat de bugs van toen vandaag nog schade toebrengen. Maar dat Microsoft er, toen en nu, niet duidelijk over communiceert doet wel vragen rijzen.

Zo zou de database zelf, tot de hack plaatsvond, slechts beveiligd zijn met één wachtwoord. Intussen zijn er twee identificatievormen nodig.

Ook had Microsoft flink wat kritiek op de NSA nadat zij gehackt werden. De Amerikaanse geheime dienst hield immers ook kwetsbaarheden en eigen hackingtools bij, maar door de hack kon onder meer het WannaCry-virus worden verspreid. Microsoft was er toen als de kippen bij om te zeggen dat de NSA schade toebracht aan burgers door kwetsbaarheden op te potten in zo’n database.

Reuters merkt tot slot ook op dat Mozilla, het bedrijf achter Firefox, een gelijkaardig voorval had in 2015. Maar het bedrijf meldde dit meteen en raadde toen gebruikers aan om snel maatregelen te nemen.

Update 16 uur:

Hoewel de bronnen van Reuters zeggen dat Microsoft onvoldoende heeft onderzocht of er data werd gestolen, benadrukt Microsoft tegenover Data News dat er destijds geen data werd gestolen. “Ons onderzoek heeft geen bewijs gevonden dat er informatie werd gestolen en gebruikt in aanvallen.” Aldus een verklaring van het bedrijf.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content