每經(jīng)編輯 郭鑫

每經(jīng)實習記者 胡曉蕊 每經(jīng)實習編輯 郭鑫

據(jù)路透社消息，五名微軟前員工透露，該公司用于追蹤自家軟件漏洞的內(nèi)部秘密數(shù)據(jù)庫早在4年以前就遭到了黑客團伙入侵，這份數(shù)據(jù)庫涉及Windows等在內(nèi)的當今世界上使用最廣泛的一批軟件，其中很多軟件的漏洞非常嚴重，而且沒有被修復。

根據(jù)《每日經(jīng)濟新聞》了解，在2013年數(shù)據(jù)泄露事件發(fā)生后，微軟并沒有詳細公布受到攻擊后影響的范圍。目前，微軟拒絕對此置評。

數(shù)據(jù)庫早在四年前就遭攻擊

消息稱，微軟在2013年就發(fā)生了數(shù)據(jù)泄漏事件。當年，一群尖端黑客攻擊了包括蘋果、Facebook和推特在內(nèi)的一系列科技巨頭公司。黑客們利用Java程序語言中的一個漏洞，滲透到蘋果工作人員的Macintosh電腦中，后再進一步入侵公司的網(wǎng)絡。

《每日經(jīng)濟新聞》注意到，在2013年數(shù)據(jù)庫泄漏事件發(fā)生一周后，微軟方面只發(fā)布了一個簡短的聲明，稱數(shù)據(jù)泄漏在可控制范圍內(nèi)，但其并沒有公布更多的細節(jié)。

根據(jù)微軟前員工的表述，微軟當時只將泄露一事通知給了美國政府，因為他們認為黑客可能利用這些數(shù)據(jù)再次發(fā)起攻擊，還有可能入侵政府及公司網(wǎng)絡。

“破壞分子夠獲得的這些內(nèi)部信息相當于掌握了全世界數(shù)億臺電腦的‘萬能鑰匙’。”時任美國網(wǎng)絡防御助理秘書的埃里克·羅森巴赫（Eric Rosenbach）說。

程序崩潰后才能知道有黑客入侵

五名前雇員的表示，當公司內(nèi)部官員意識到用于追蹤自家軟件漏洞的內(nèi)部秘密數(shù)據(jù)庫泄漏之后，氣氛開始變得緊張起來。因為微軟數(shù)據(jù)庫的保護性非常差，只需簡單的密碼登錄即可。

根據(jù)前員工回憶，微軟遭黑客入侵的幾個月后已將漏洞修補。盡管這是他們首次公開談這件事，但這些向路透社爆料的前員工表示，那次黑客事件讓他們警覺到，黑客當時可以用這些資料在其它地方發(fā)動攻擊，入侵政府和企業(yè)網(wǎng)路。

路透社采訪的5名前雇員中有3人表示，即使漏洞被修復，也顯然不能排除這些漏洞在后續(xù)被黑客繼續(xù)利用的可能。

“他們很顯然發(fā)現(xiàn)了這個漏洞，不過關于這些漏洞是否被利用了，他們并沒有做更為詳細的調(diào)查。”這其中一部分原因是微軟一直依靠軟件崩潰而自動形成的報告來告訴程序員可能的入侵出現(xiàn)了。一名專家稱，這個方法的弊端是很多技術高深的黑客即使在入侵你的電腦時，也不會使你的程序崩潰。此外，那些最容易受到攻擊的機器，比如那些有重要或者機密信息的政府機構(gòu)的電腦，通常是不會自動崩潰的。

美國國土安全部負責網(wǎng)絡安全的副部長Mark Weatherford在了解到微軟一事后提醒廣大公司，應該嚴肅對待錯誤報告。

泄露數(shù)據(jù)庫被隔離 登陸者需二次身份驗證

在經(jīng)歷一波破壞性的黑客攻擊浪潮后，各家公司都在努力尋找和修復軟件中的漏洞。包括微軟在內(nèi)的許多公司通過向安全研究人員和黑客支付“賞金”，以獲得更多關于漏洞的信息，并確保能做出更多的努力來保障軟件的安全。

應該說，自從今年美國國家安全局（NSA）的網(wǎng)絡武器庫被入侵以后，類似的安全問題才引起了廣泛的關注。微軟總裁布拉德-史密斯（BradSmith）表示：“這一事態(tài)的嚴重性相當于美國的戰(zhàn)斧導彈被盜。

微軟在回答路透社的一封郵件中說道：“目前，我們的網(wǎng)絡安全團隊隨時隨地都在監(jiān)測可能出現(xiàn)的安全隱患，以便我們能夠最快的采取行動來保障我們用戶的信息安全。”

據(jù)《每日經(jīng)濟新聞》了解，在此次信息泄露事件后，微軟將這一數(shù)據(jù)庫從公司網(wǎng)絡中隔離出來，并要求對登陸者進行二次身份驗證，來加強安全方面的監(jiān)管。

在微軟的數(shù)據(jù)庫丟失事件被曝光之前，同類數(shù)據(jù)庫被盜被曝光的案例僅有一例：2015年，瀏覽器開發(fā)商火狐的一個數(shù)據(jù)庫被黑客入侵，10項未修補的嚴重漏洞信息被竊取，后來，黑客利用其中一個漏洞向火狐用戶發(fā)起攻擊。

火狐首席商務官兼法務Denelle Dixon在公布數(shù)據(jù)泄露事件后解釋道：“這不僅僅是為了提醒我們的用戶，也是為了幫我們自己以及其他公司更多的了解這一情況，最重要的是公開和透明一直是我們對待用戶的基本原則。”