Microsoft identifikoval útok jako druhý případ za několik let, kdy nedostatek základních bezpečnostních opatření umožnil infiltraci hackerů s potenciálem vážného poškození konečných zákazníků. Společnost informovala veřejnost o útoku v pátečním prohlášení předaném Komisi pro cenné papíry.

Podle prozatimního vyšetřování začala reálná hrozba již v listopadu 2023 útokem na starší neprodukční testovací účet pomocí metody zvané „spray attack“. Následně získal kontrolu a použil ji k neoprávněnému přístupu k omezenému počtu firemních e-mailových účtů Microsoft, včetně těch, které patřily vedoucím pracovníkům a zaměstnancům pracujícím v oblasti kybernetické bezpečnosti a práva. Během útoku byly extrahovány některé e-maily a připojené dokumenty.

Zdroj: Shutterstock

Podle vyjádření Stevea Bellovina, profesora počítačových věd a právníka, naznačuje úspěšný útok fakt, že v síti Microsoftu chybí dvoufaktorové ověření a že byla zneužívána slabá nebo znovu použitá hesla. Kromě toho zdůraznil otázky ohledně možností testovacího účtu a jeho trvanlivosti, protože v tomto případě společnosti Microsoft docela trvalo než útok odhalila.

I přesto, že Microsoft tvrdí, jak neexistují důkazy o přístupu k zákaznickým údajům, produkčním systémům, zdrojovému kódu nebo systémům AI, někteří výzkumníci vyjádřili pochybnosti ohledně odolnosti služby Microsoft 365 proti podobným technikám útoku. Kevin Beaumont, bývalý pracovník v oblasti kybernetické bezpečnosti u Microsoftu, zdůraznil potřebu detailního sledování situace s reálnými informacemi. Ve svém prohlášení také poukázal na potřebu radikální, technické a kulturní transformace ve společnosti Microsoft, aby obnovila důvěru ve své schopnosti reagovat na kybernetická rizika.