Microsoft chắc chắn đã trở thành một cái tên quen thuộc kể từ khi thành lập, nhưng lịch sử phát triển của hãng này không hề bằng phẳng. Trong suốt nhiều năm, Microsoft đã phải hứng chịu một danh sách dài các sự cố bảo mật, nhiều trong số đó đã khiến dữ liệu người dùng gặp nguy hiểm. Vậy vụ hack lớn nhất của Microsoft trong thế kỷ 21 là gì? Và liệu gã khổng lồ công nghệ này có cần bảo mật tốt hơn không?
1. Vi phạm máy chủ Exchange năm 2021
Vào đầu năm 2021, vào ngày 3 tháng 1, các máy chủ nền tảng Exchange của Microsoft bắt đầu bị xâm phạm thông qua 4 lỗ hổng phần mềm zero-day.
Phải đến tháng 3 cùng năm, quy mô của cuộc tấn công mới trở nên rõ ràng, với hơn 30.000 tổ chức có trụ sở tại Hoa Kỳ bị tấn công do những lỗi phần mềm này trong code của Microsoft Exchange. Tổng cộng, hơn 250.000 máy chủ Exchange cá nhân đã bị tấn công, trong đó 7.000 máy chủ có trụ sở tại Vương quốc Anh. Các quốc gia khác, bao gồm Na Uy và Chile, cũng bị ảnh hưởng.
Dữ liệu bị đánh cắp trong cuộc tấn công này bao gồm địa chỉ email và mật khẩu của người dùng máy chủ. Ngoài ra, những kẻ tấn công có thể thêm nhiều backdoor hơn để khai thác trong tương lai.
Microsoft không mất nhiều thời gian để phát hành các bản vá cần thiết, nhưng cuộc tấn công này đã nêu bật việc các lỗ hổng có thể dễ dàng dẫn đến những chiến dịch tấn công lớn như thế nào.
2. Vụ rò rỉ hồ sơ khách hàng của 250 triệu người
Đầu năm 2020, người ta phát hiện Microsoft đã vô tình làm rò rỉ hơn 250 triệu hồ sơ khách hàng. Vụ rò rỉ lớn này xảy ra do cơ sở dữ liệu không được bảo vệ bằng mật khẩu.
Phần lớn dữ liệu bị lộ bao gồm các cuộc trò chuyện giữa người dùng và đại diện hỗ trợ khách hàng, diễn ra từ năm 2005 đến năm 2019. Tuy nhiên, nhiều thông tin nhạy cảm hơn đã bị tiết lộ trong một số trường hợp nhất định, bao gồm cả địa chỉ email và IP của khách hàng.
Microsoft chỉ mất 24 giờ để bảo mật cơ sở dữ liệu nhưng lúc này đã quá muộn.
3. Rò rỉ thông tin xác thực Hotmail 2016
Vào tháng 5 năm 2016, nhiều cơ quan báo chí bắt đầu đưa tin về một vụ hack lớn dẫn đến rò rỉ thông tin đăng nhập của người dùng từ Google, Yahoo và Microsoft. Hơn 270 triệu thông tin tài khoản đã bị đánh cắp và rao bán trên các thị trường bất hợp pháp ở Nga. 33 triệu trong số đó là thông tin xác thực Hotmail, một dịch vụ email được Microsoft mua vào năm 1997.
May mắn thay, hacker ban đầu sở hữu thông tin đăng nhập đã bán chúng cho một công ty bảo mật trá hình, thay vì một cá nhân độc hại khác đang tìm cách khai thác chúng.
4. Vi phạm dữ liệu Lapsu$ năm 2022
Vào tháng 3 năm 2022, Microsoft xác nhận rằng họ đã bị tấn công bởi một nhóm hacker nổi tiếng có tên "Lapsu$". Tổ chức hack quốc tế này đã tạo dựng được tên tuổi của mình bằng cách nhắm mục tiêu vào nhiều tên tuổi lớn, bao gồm cả Nvidia và Samsung.
Mặc dù Lapsu$ từng nhắm mục tiêu vào các tổ chức ở Nam Mỹ và Vương quốc Anh, nhưng kể từ đó, chúng đã nhắm đến các nạn nhân khác, bao gồm cả những nạn nhân ở Hoa Kỳ. Nhóm hack trắng trợn này chuyển trọng tâm sang Microsoft vào đầu năm 2022.
Trong trường hợp này, Lapsu$ (được Microsoft chính thức gọi là "DEV-0537") đã tìm cách xâm phạm một tài khoản nhân viên Microsoft và truy cập các phần của mã nguồn Bing, Bing Maps và Cortana.
Xác nhận của Microsoft được đưa ra sau khi Lapsu$ xuất bản mã nguồn bị đánh cắp này trong một file torrent. Tuy nhiên, Microsoft đã cáo buộc trong một bài đăng trên blog liên quan đến vụ việc rằng hành vi trộm cắp và rò rỉ mã nguồn không gây ra rủi ro bảo mật cho công ty hoặc người dùng.
5. Vi phạm Zero-Day năm 2010
Vào cuối năm 2009, Microsoft phát hiện ra lỗ hổng bảo mật nghiêm trọng zero-day. Công ty đã không thực hiện bất kỳ hành động nào cho đến năm sau, khi các công ty như Google và Adobe bắt đầu trở thành mục tiêu của tội phạm mạng thông qua lỗ hổng này.
Lỗ hổng này cho phép kẻ độc hại triển khai phần mềm độc hại trên thiết bị của nhân viên công ty mục tiêu. Phần mềm độc hại sau đó sẽ được lợi dụng để truy cập thông tin cá nhân từ Google và Gmail.
Vi phạm này khiến Microsoft bị coi là đặc biệt tồi tệ do cách công ty xử lý việc đưa ra biện pháp khắc phục. Phải đến tháng 1 năm 2010, 3 tháng sau khi biết về lỗ hổng này, Microsoft mới phát hành bản vá. Điều tệ hơn là Microsoft ban đầu dự định phát hành bản vá một tháng sau đó, vào tháng Hai.
6. Cuộc tấn công Storm0558 năm 2023
Vào năm 2023, khoảng 25 tổ chức, bao gồm cả các cơ quan chính phủ, đã bị tấn công thông qua hai lỗ hổng bảo mật của Microsoft. Kẻ độc hại có trụ sở tại Trung Quốc và được biết đến với cái tên Storm0558, đã tìm cách đánh cắp dữ liệu từ những khách hàng sử dụng Outlook Web Access và Exchange Online.
Microsoft tuyên bố rằng kẻ đe dọa có mục tiêu gián điệp. Công ty xác nhận thêm rằng kẻ tấn công đã lấy được signing key của người tiêu dùng MSA để thực hiện cuộc tấn công.
Theo điều tra của Wiz, không chỉ Outlook Web Access và Exchange Online bị ảnh hưởng bởi vụ hack. Wiz đã báo cáo rằng các dịch vụ khác của Microsoft, bao gồm Teams, OneDrive và SharePoint, cũng có thể bị khai thác bằng key MSA bị xâm phạm.
Microsoft có cần bảo mật tốt hơn không?
Microsoft hoàn toàn không lỏng lẻo về mặt bảo mật. Công ty đảm bảo rằng các sản phẩm của mình có mức độ bảo vệ người dùng vững chắc, bao gồm xác thực hai yếu tố, mã hóa, bộ lọc chống thư rác, tường lửa và cảnh báo đăng nhập.
Tất nhiên, sự hiện diện của những tính năng này sẽ phụ thuộc vào sản phẩm Microsoft bạn đang sử dụng. Ví dụ, hệ điều hành Windows đi kèm với phần mềm diệt virus mặc định nhưng Outlook thì không.
Phần lớn các cuộc tấn công được liệt kê ở trên là do lỗ hổng phần mềm, vì vậy có vẻ như việc kiểm tra code nhiều hơn có thể là những gì Microsoft cần làm. Công ty đã trải qua các cuộc kiểm toán, có thể là về phần mềm hoặc hoạt động kinh doanh của họ, nhưng có vẻ như một lượng lớn lỗ hổng vẫn đang bị bỏ sót.
Phát hành các bản vá bảo mật ngay khi xác định được lỗ hổng cũng có thể là điều khôn ngoan, ngay cả khi lỗ hổng đó vẫn chưa bị lạm dụng. Điều này giúp loại bỏ khả năng Microsoft hoặc người dùng của Microsoft trở thành nạn nhân của các cuộc tấn công do khai thác phần mềm gây ra.
Tuy nhiên, những hoạt động này sẽ đòi hỏi rất nhiều nhân sự và nguồn lực vì hiện nay Microsoft có gần 400 sản phẩm phần mềm.