SolarWinds hackers accessed Microsoft source code.

माइक्रोसॉफ्ट ने इस बात की पुष्टि कि 31 Dec 2020 को सोलरविंड्स सप्लाई चेन अटैक (SolarWinds supply chain attack) के पीछे हैकर्स, माइक्रोसॉफ्ट के इंटरनल नेटवर्क में अनधिकृत पहुँच बनाने और कुछ इंटरनल एकाउंट्स को एक्सेस करने में सफल रहे,  इन एकाउंट्स का उपयोग माइक्रोसॉफ्ट सोर्स कोड रिपॉजिटरी (source code repositories) में करते थे।

Microsoft ने अपने ब्लॉग पर आंतरिक जांच अपडेट पोस्ट में कहा कि- हैकर्स द्वारा एक्सेस किये गए एकाउंट्स से रिपॉजिटरी में कोई हस्तक्षेप नहीं किया गया क्योंकि कोम्प्रोमाईज़ किए गए एकाउंट्स पर सिर्फ देखने की परमिशन ही थी|

Microsoft ने इस बात पर जोर देते हुए कहा है कि हालाँकि कुछ सोर्स कोड को देखने के बावजूद, हैकर ने माइक्रोसॉफ्ट के प्रोडक्शन सिस्टम, कस्टम डाटा या माइक्रोसॉफ्ट प्रोडक्ट्स को उपयोग करने वाले कस्टमर पर किसी भी प्रकार का कोई अटैक नहीं किया है |

Microsoft ने स्वीकार किया था कि उसने पहले 17 दिसंबर को अपने आंतरिक नेटवर्क के अंदर, एक IT मोनिटरिंग प्लेटफार्म, SolarWinds Orion का उपयोग किया था।

कुछ दिन पहले यह खबरें भी आईं थी कि हैकर्स ने आईटी सॉफ्टवेयर बनाने वाली कंपनी SolarWinds में  सुरक्षा उल्लंघन कर ओरियन प्लेटफॉर्म के अपडेट में मैलवेयर डाला था जिस का इस्तेमाल उस समय दुनिया भर की सभी निजी कंपनियों और सरकारी एजेंसियों के इंटरनल नेटवर्क पर शुरुआती पकड़ बनाने के लिए किया गया था।

इसे भी पढ़े : दिग्गज टेक कंपनिया फेसबुक के सर्थन में, हैकिंग के लिए NSO ग्रुप के खिलाफ की क़ानूनी कार्यवाही |

Microsoft भी उन हजारों कंपनियों में से एक था जिसने अपने नेटवर्क पर दूषित ओरियन अपडेट से मैलवेयर के होने की जाँच और पुष्टि की। साथ ही Cisco, VMware, Intel, NVIDIA और कई अन्य अमेरिकी सरकारी एजेंसियों सहित कई अन्य कंपनियों ने तब से अपने नेटवर्क पर सनबर्स्ट (Sunburst) या सॉलोरेट (Solorigate) मैलवेयर के मार्करों की खोज की है|

 हालांकि, SolarWinds Orion  केवल प्रारंभिक संक्रमण वेक्टर नहीं था, क्योंकि यूएस साइबर स्पेस एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने कहा कि हमलावरों ने अन्य तरीकों का भी इस्तेमाल किया, जिनका अभी तक सार्वजनिक रूप से खुलासा नहीं किया गया है।

एजेंसी (CISA) ने वैकल्पिक मार्गदर्शन भी जारी किया, जिसमें सभी अमेरिकी संघीय एजेंसियों से आग्रह किया गया कि वे अभी लेटेस्ट 2020.2.1 HF2 वर्शन को अपडेट करने के लिए सोलरविंड्स ओरियन सॉफ्टवेयर को रन करे।

एजेंसी (CISA) ने कहा, “राष्ट्रीय सुरक्षा एजेंसी (NSA) ने इस वर्शन की जांच की और पुष्टि भी की है कि यह पहले से पहचाने गए मालीसिओस कोड को समाप्त कर देता है।”

माइक्रोसॉफ्ट की ओएस निर्माता ने यह दावा करते हुए आज इस तथ्य को खारिज कर दिया कि- हैकर्स ने इंटरनल सोर्स कोड रिपॉजिटरी को देखा, कि यह कोई बहुत बड़ी बात नहीं थी।

इसे भी पढ़े : अमरीकी ऐजंसी ने चीनी हार्डवेयर और सर्विसेज के उपयोग से सम्बंधित बिज़नस एडवाइजरी प्रकाशित की है|

“माइक्रोसॉफ्ट ने एक Inner Source एप्रोच का सन्दर्भ देते हुए कहा है कि माइक्रोसॉफ्ट – ओपन-सोर्स सॉफ़्टवेयर डेवलपमेंट में बेस्ट प्रेक्टिस का उपयोग करके और एक ओपन-सोर्स जैसी संस्कृति को अपनाकर ही सोर्स कोड को देखने योग्य बनाती है| “

हम प्रोडक्ट्स की सुरक्षा के लिए स्रोत कोड की गोपनीयता पर भरोसा नहीं करते हैं|

Microsoft ने पिछले कुछ वर्षों में स्रोत कोड गोपनीयता के लिए यह दृष्टिकोण स्पष्ट कर दिया था, क्योंकि कई Microsoft उत्पादों के स्रोत कोड ऑनलाइन लीक हो गए थे- जैसे कि Windows 10, Windows Server 2013, Windows XP, Windows 2000, Windows NT और Xbox।

LEAVE A REPLY

Please enter your comment!
Please enter your name here