Microsoft, hacking dal passato

Nel 2013 un sofisticato attacco hacking avrebbe compromesso il database Microsoft dei bug riscontrati nei propri software e Redmond non avrebbe reso nota la notizia mettendo potenzialmente a rischio i suoi utenti.

A riferirlo ora a Reuters sono cinque ex dipendenti di Microsoft che definiscono l’attacco il secondo mai rilevato a colpire il database segreto: in esso sono individuate e descritte le vulnerabilità critiche e non corrette relative a tutti i software Microsoft e si tratta dunque di informazioni particolarmente preziose per hacker e spie governative che in esso trovano spunto per lo sviluppo degli strumenti da utilizzare per l’accesso ai dispositivi degli utenti e altri tipi di attacchi.

Per accedervi gli hacker, riconosciuti come quelli appartenenti al gruppo noto con i nomi di Morpho, Butterfly e Wild Neutron, hanno sfruttato una vulnerabilità di Java attraverso cui hanno penetrato i computer Mac degli impiegati Microsoft e da essi sono riusciti ad avere acceso alla rete aziendale.

Anche per questo un attacco nei confronti di tale archivio sembra particolarmente grave: le stesse fonti riferiscono che per la correzione delle vulnerabilità registrate nel database sono occorsi alcuni mesi e che in seguito alla vicenda la sicurezza dello stesso è stata rafforzata, innanzitutto separandolo dalla rete aziendale e introducendo poi due diversi sistemi di autenticazione per l’accesso.

Nonostante tale importanza, la conseguente criticità dell’attacco e il tempo necessario per correggere i bug contenuti nel database, l’informazione della sua violazione è stata fornita solo alle autorità degli Stati Uniti , senza dunque la divulgazione pubblica che avrebbe permesso anche agli utenti di correre eventualmente ai ripari.

Peraltro lo stesso gruppo di hacker avrebbe nello stesso periodo colpito anche Apple, Twitter e Facebook, ma alla richiesta di informazioni circa il suo eventuale coinvolgimento come altra vittima nella serie di attacchi, Redmond nel 2013 si era limitata a dire di “aver trovato un piccolo numero di computer infettati da software malevoli simili a quelli descritti nei documenti delle altre organizzazioni vittime, ma non abbiamo prove di dati di clienti interessati”. Niente, dunque, sul database dei bug.

Anche adesso che i suoi ex dipendenti hanno parlato più apertamente della questione, Microsoft non ha commentato dettagliatamente la notizia, limitandosi a rilasciare a Reuters una dichiarazione generica sul suo impegno sul fronte sicurezza: “il nostro team di sicurezza monitora costantemente le minacce informatiche e adotta le misure prioritarie e necessarie per tenere protetti i nostri clienti”.

Claudio Tamburrino