微软因“不足够”的网络安全做法在2023年黑客袭击的美国报告中受到批评 - 彭博社

去年中国政府对微软公司技术进行了入侵，使黑客能够收集美国官员的电子邮件，“这种情况本不应发生”，根据政府网络安全审查委员会周二发布的一份报告。

网络安全审查委员会是白宫指定的一个小组，旨在审查重大网络攻击，表示 微软展示了“优先考虑企业安全投资和严格风险管理”的企业实践。报告称，该公司的安全文化“不足”，“需要彻底改革”。

审查委员会调查了2023年微软Exchange Online邮箱遭到黑客攻击的事件，外部人员侵入了22个组织和数百名个人。美国商务部长吉娜·雷蒙多（Gina Raimondo）；美国驻华大使尼古拉斯·伯恩斯（Nicholas Burns）；以及内布拉斯加州共和党议员唐·培根（Don Bacon）都被卷入了这场攻击。

报告称，与中国政府有关的一个名为Storm-0558的黑客组织发起了这次攻击。根据报告，微软仍未确定攻击者是如何渗入公司的。

审查人员还确定该公司在更新有关事件的误导性或不准确披露方面行动缓慢。在一个案例中，微软在2023年9月暗示黑客使用了一种称为数字证书的工具来窃取电子邮件。直到11月，该公司才向委员会承认其9月的披露是“不准确的”，根据报告。

微软表示将审查报告以获取额外的建议。

“虽然没有组织能够免受来自资源充足的对手的网络攻击，但我们已经动员了我们的工程团队来识别和减轻传统基础设施，改进流程并执行安全基准，”微软发言人表示。

尽管微软主要以其面向企业和消费者的软件产品而闻名，但总部位于华盛顿的公司近年来已成为网络安全产品的最大提供商，这一业务领域每年增长约200亿美元。