Sidoarjo, Getindo.com – Senator Ron Wyden, D-Oregon, ketua Komite Keuangan Senat yang kuat, menuntut pada hari Kamis bahwa Departemen Kehakiman dan dua regulator sipil membuka penyelidikan terpisah terhadap Microsoft.
“praktik keamanan siber yang lalai” yang mengarah pada peretasan tingkat tinggi yang ditargetkan yang menargetkan eselon tertinggi kabinet Presiden Joe Biden.
Peretas China mengakses akun email yang diberdayakan Microsoft dari utusan China terkemuka, Sekretaris Perdagangan Gina Raimondo, dan Menteri Luar Negeri Antony Blinken. Intrusi, dari Mei hingga Juni, terjadi tepat sebelum pertemuan kritis China-AS.
Wyden mengirim surat itu kepada Jaksa Agung Merrick Garland, ketua Komisi Perdagangan Federal Lina Khan, dan direktur Cybersecurity and Infrastructure Security Agency Jen Easterly pada hari Kamis.
Microsoft saham turun sekitar 1% pada perdagangan Kamis pagi.
“Email pemerintah dicuri karena Microsoft melakukan kesalahan lain. walaupun
kunci enkripsi yang dicuri adalah untuk akun konsumen, ‘kesalahan validasi dalam kode Microsoft’ memungkinkan peretas juga membuat token palsu untuk akun yang dihosting Microsoft untuk lembaga pemerintah dan organisasi lain, dan dengan demikian mengakses akun tersebut, ”tulis Wyden.
Wyden meminta Departemen Kehakiman memeriksa apakah Microsoft telah melanggar undang-undang federal karena kelalaiannya; bahwa CISA memeriksa apakah Microsoft melanggar praktik terbaik untuk mengamankan “kunci kerangka” yang sangat sensitif; dan bahwa Federal Trade Commission memeriksa apakah Microsoft melanggar undang-undang privasi federal.
Arahan Wyden ke FTC berfokus pada masalah privasi, tetapi agensi tersebut juga dapat memeriksa apakah dominasi Microsoft di pasar komputasi awan menyebabkan peningkatan risiko melalui perilaku anti-persaingan. Tuduhan itu telah diajukan oleh saingan dan operator keamanan siber, termasuk Google.
“Sementara para insinyur Microsoft seharusnya tidak pernah menerapkan sistem yang melanggar prinsip keamanan siber dasar seperti itu, kelemahan yang jelas ini seharusnya ditangkap oleh audit keamanan internal dan eksternal Microsoft,” kata Wyden.
“Insiden ini menunjukkan tantangan keamanan siber yang berkembang dalam menghadapi serangan canggih. Kami terus bekerja secara langsung dengan lembaga pemerintah mengenai masalah ini, dan mempertahankan komitmen kami untuk terus berbagi informasi di blog Intelijen Ancaman Microsoft,” kata juru bicara Microsoft.
Seorang juru bicara FTC mengonfirmasi bahwa agensi tersebut telah menerima surat tersebut tetapi menolak berkomentar lebih lanjut. CISA tidak segera menanggapi permintaan komentar.
Pakar keamanan dunia maya telah menyatakan keprihatinan yang meningkat atas gangguan tersebut, yang berdampak pada setidaknya selusin organisasi pemerintah di seluruh dunia. Baik Departemen Luar Negeri dan Departemen Perdagangan menjadi sasaran para peretas Tiongkok.
Tim dunia maya Departemen Luar Negeri memberi tahu Microsoft tentang serangan itu, dan hanya dapat melakukannya karena telah merekayasa pelaporan dan pencatatan yang lebih terperinci. Setelah peretasan, Microsoft mengatakan akan berhenti menagih untuk penebangan yang canggih dan menawarkannya secara gratis.
Wyden mencatat bahwa ini bukan pertama kalinya pemerintah asing meretas lembaga pemerintah dengan mengeksploitasi kerentanan Microsoft.
“Peretas Rusia di balik kampanye peretasan SolarWinds 2020 menggunakan teknik serupa,” kata Wyden. “Selain itu, meskipun Microsoft telah mengetahui sejak 2017 bahwa kunci semacam itu dapat diekstraksi secara diam-diam dari server pelanggan yang menjalankan perangkat lunaknya, Microsoft gagal memperingatkan pelanggannya, termasuk lembaga pemerintah, tentang risiko ini.”
Baik pejabat Microsoft dan federal telah mengungkapkan sedikit tentang peretasan tersebut, meskipun Microsoft telah menyebarkan informasi tambahan dan membuat konsesi kepada pelanggan untuk mengurangi dampak eksploitasi.
Sumber:
