4 月 10 日，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)（CSRB）公布一份長(zhǎng)達(dá) 34 頁(yè)的報(bào)告，直指微軟在安全防護(hù)方面存在嚴(yán)重漏洞，近兩年導(dǎo)致美國(guó)22家組織的500多名工作人員的電子郵件失竊。

此起出現(xiàn)在2021年的安全問題源于黑客集團(tuán)Storm-0558成功盜取微軟帳戶的加密密鑰并以此欺詐性地生成身份驗(yàn)證令牌，從而進(jìn)入美國(guó)政府部門電子郵箱。

微軟在2023年7月就此事發(fā)布官方安全警告，承認(rèn)黑客已取得25個(gè)美國(guó)政府部門的Exchange Online及Azure Active Directory（現(xiàn)為Microsoft EntraID）賬戶“合法”訪問權(quán)限。

然而，CSRB認(rèn)為這次信息泄漏本可避免，歸結(jié)原因在于微軟自身眾多安全隱患的累積。

附上部分錯(cuò)誤如下：

未能檢測(cè)到加密算法被攻破

在員工設(shè)備連接到微軟公司網(wǎng)絡(luò)之前，未能檢測(cè)到該員工的筆記本電腦已被攻破

微軟沒有第一時(shí)間糾正錯(cuò)誤