微軟給內部漏洞做了個數據庫: 但4年前就被黑客偷走

北京時間10月18日早間消息，據路透社報道，5名微軟前員工透露，該公司用於追蹤自家軟件漏洞的內部數據庫4年多以前遭到手段高明的黑客團夥入侵，這也目前已知的第二起類似的公司數據庫入侵事件。

在2013年發現此事後，微軟當時並未披露攻擊的影響範圍，但5名前員工向路透社披露了此事。微軟拒絕對此置評。

該數據庫中包含的漏洞涉及Windows等當今世界上使用最廣泛的一批軟件，其中的很多漏洞非常嚴重，而且沒有修複。世界各國政府雇傭的間諜和其他黑客都對這類信息垂涎三尺，希望能夠借此開發入侵工具。

前員工透露，數據庫中包含的漏洞可能在被黑後幾個月內即被修複。但這些前員工以及美國官員表示，微軟當時將此事通知美國政府，因為他們認為黑客可能利用這些數據發起攻擊，還有可能入侵政府及公司網絡。

“能夠獲得這些內部信息的壞分子相當於掌握了全世界數億台電腦的‘萬能鑰匙’。”當時擔任美國網絡防禦助理秘書的埃裏克·羅森巴赫（Eric Rosenbach）說。

麵臨越來越多的破壞性黑客攻擊，各類企業目前都在努力發現和解決自家軟件中的漏洞。包括微軟在內的很多公司也都向安全機構和黑客支付“獎金”，希望獲取更多漏洞信息，從而盡快采取補救措施。

微軟此時回應道：“我們的安全團隊負責積極監控網絡威脅，從而幫助我們優先處理相關問題，並采取相應措施，為用戶提供保護。”

這5位前員工表示，在發現此次攻擊後，微軟曾經調查過其他組織遭遇的攻擊狀況。但並沒有發現有人利用這些信息發起攻擊。

兩名現任微軟員工表示，該公司認可這一評估。而3名前員工則認為，這份調查的樣本數據太少，不足以得出結論。

微軟前員工，該公司在數據遭到入侵後收緊了安全措施，將這一數據庫從公司網絡中隔離，並且需要通過兩步驗證措施才能訪問。

在美國國家安全局（NSA）的大量黑客工具被盜，並被公之於眾，甚至用於向美國的醫院和其他設施發起破壞性“WannaCry”攻擊後，類似的問題構成的威脅引發了廣泛關注。

在WannaCry攻擊發生之後，微軟總裁布拉德·史密斯（Brad Smith）將此事比作“美國丟失一些戰斧導彈”。

在此之前，軟件公司的大型數據庫遭到入侵的事件僅公開披露過一次。2015年，作為火狐瀏覽器的開發商，非營利組織Mozilla基金會表示黑客入侵了該公司的一個數據庫，其中包含10項未修補的嚴重漏洞。其中一項漏洞之後之後被用於向火狐用戶發起攻擊。

與微軟不同，Mozilla提供了當時泄密事件的詳細信息，並呼籲用戶采取行動。（書聿）