美国参议员：该调查微软网络安全疏忽了

微软正面临一名美国参议员的批评，原因是他未能阻止国家支持的黑客两次侵入美国政府系统：一次是在2020年的SolarWinds黑客攻击中，另一次是本月披露的最近一次基于Outlook的电子邮件黑客攻击。

俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)要求司法部、联邦贸易委员会(Federal Trade Commission)和美国网络安全机构CISA对微软进行调查。

他写道：“我写信是为了要求你们的机构采取行动，追究微软疏忽的网络安全行为的责任，这些疏忽的网络安全做法使得中国针对美国政府的间谍活动取得成功。”

Wyden表示，SolarWinds事件和Outlook入侵事件背后的黑客获得访问权限的部分原因是微软糟糕的安全做法。但据称，这家软件巨头并没有承认错误，而是将责任推给了其他人，并敦促客户坚持使用微软的产品。

例如，怀登列举了本月侵入美国政府电子邮件账户的疑似中国黑客是如何通过使用伪造的Exchange Online和Outlook.com身份验证令牌来做到这一点的。在它自己的博客文章中

“即使到目前为止公布的细节有限，微软对这起新事件负有重大责任，”怀登说。“首先，微软不应该拥有一个万能密钥，当它不可避免地被盗时，可能会被用来伪造访问不同客户的私人通信。”

Wyden的信中说，另一个问题是，微软忽视了将此类签名密钥存储在硬件保险库中，即所谓的硬件安全模块–微软自己指责客户在SolarWinds入侵期间未能做到这一点。

这位参议员随后批评了该公司在Outlook黑客攻击中使用的签名密钥。根据

此外，微软的内部和外部审计未能发现密钥签名漏洞，这意味着该公司的产品可能包含其他问题。“让微软为自己的疏忽负责，需要整个政府的努力，”怀登补充道。

微软没有立即回复记者的置评请求。与此同时，怀登要求美国司法部长梅里克·加兰德调查微软在接受联邦资金时是否未能遵守规定的网络安全标准。Wyden还希望CISA调查最近的Outlook黑客攻击事件，以及微软在其中所扮演的角色。

更新：微软在回应Wyden的信时表示：“这一事件表明，面对复杂的攻击，网络安全面临着不断变化的挑战。我们将继续在这个问题上与政府机构直接合作，并保持我们在微软威胁情报博客上继续分享信息的承诺

与此同时，中国国家安全局表示，该机构“已收到怀登参议员的来信，我们期待着直接回复他。更广泛地说，我们将继续与包括微软在内的技术提供商合作，通过设计实践推动安全的采用，这将有助于确保每个美国组织的安全。”