Eind juni kreeg een van de klanten van cyberbeveiligingsdeskundige Steven Adair een waarschuwing van Microsoft: het e-mailaccount van een van de werknemers van de klant die aan mensenrechtenkwesties werkt, was gecompromitteerd. De klant wilde weten of Adair dit tot op de bodem kon uitzoeken.

Adair, die vroeger werkzaam was in cyberdefensie bij de Amerikaanse ruimtevaartorganisatie NASA voordat hij zijn eigen bedrijf, Volexity, oprichtte, begon onmiddellijk een onderzoek - en stuitte op een muur.

"We onderzochten elk detail met betrekking tot het gedrag van deze gebruiker," vertelde Adair donderdag aan Reuters. "We konden niets vinden."

De hackers die inbraken in de e-mails van zijn cliënt waren dezelfde groep geraffineerde cyberspionnen die Microsoft deze week beschuldigde van het stelen van e-mails van hooggeplaatste Amerikaanse ambtenaren, waaronder medewerkers van het Ministerie van Buitenlandse Zaken en de minister van Handel, Gina Raimondo. Microsoft zei dat de hacks niet plaatsvonden door computers te kapen of wachtwoorden te stelen, maar door gebruik te maken van een nog niet bekendgemaakt beveiligingsprobleem met de alomtegenwoordige online e-mailservice van het bedrijf.

Omdat de klant van Adair - die hij niet wilde noemen - Microsoft niet betaalde voor zijn premium beveiligingspakket, waren er geen gedetailleerde forensische gegevens beschikbaar en kon Adair niet achterhalen wat er was gebeurd.

"We werden op dat moment eigenlijk een toeschouwer," zei hij.

Adair dringt er nu bij Microsoft op aan om de extra gegevens gratis aan haar klanten te verstrekken, een campagne die in de nasleep van het lek stoom heeft opgestoten door onrust over de beveiligingspraktijken van de softwaregigant in overheidskringen.

De Amerikaanse senator Ron Wyden zei dat Microsoft al zijn klanten volledige forensische mogelijkheden zou moeten bieden en zei dat "mensen laten betalen voor premium functies die nodig zijn om niet gehackt te worden net zoiets is als een auto verkopen en dan extra laten betalen voor veiligheidsgordels en airbags.

Microsoft heeft niet onmiddellijk gereageerd op vragen over de ervaring van Adair, de opmerking van Wyden of andere kritiek op de beveiliging.

In een blogbericht waarin de hack dinsdag laat voor het eerst werd beschreven, zei Microsoft dat "verantwoordelijkheid bij ons begint" en dat het bedrijf "zichzelf voortdurend evalueert, leert van incidenten" en zijn verdediging versterkt.

EEN STORM IN DE CLOUD

Al jaren verplaatsen individuen, organisaties en overheden hun e-mails, spreadsheets en andere gegevens van hun eigen servers naar die van Microsoft om te profiteren van de kostenbesparingen en de integratie met het pakket kantoortools van het bedrijf uit Redmond, Washington. Tegelijkertijd heeft Microsoft het gebruik van zijn eigen beveiligingsproducten gepromoot, waardoor sommige klanten zijn afgestapt van wat zij als overbodige antivirusprogramma's zagen.

Het proces van het migreren van de gegevens en diensten van een organisatie naar een groot techbedrijf wordt ook wel "verhuizen naar de cloud" genoemd. Het kan de beveiliging verbeteren, vooral voor kleine organisaties die niet over de middelen beschikken om hun eigen IT- of beveiligingsafdelingen te runnen.

Maar concurrenten die door het beveiligingsaanbod van Microsoft onder druk worden gezet, luiden de alarmbel over hoe grote delen van de industrie en de overheid in feite al hun eieren in één mandje hebben gelegd.

"Organisaties moeten investeren in beveiliging," zei Adam Meyers van het cyberbeveiligingsbedrijf CrowdStrike in een e-mail die woensdag onder journalisten werd verspreid. "Het hebben van één monolithische leverancier die verantwoordelijk is voor al uw technologie, producten, diensten en beveiliging kan uitlopen op een ramp."

Er ontstaat ook frustratie over de licentiestructuur van Microsoft, die klanten extra kosten in rekening brengt voor de mogelijkheid om gedetailleerde forensische logboeken in te zien, zoals de logboeken waartoe Adair van Volexity geen toegang had. De kwestie is een twistpunt tussen het bedrijf en de Amerikaanse overheid sinds in 2020 een hack van bedrijfssoftwarebedrijf SolarWinds werd onthuld.

Adair zei dat hij begreep dat Microsoft geld wilde verdienen aan zijn eersteklas beveiligingsproduct. Maar hij zei dat meer ogen open hebben voor cyberbedreigingen een win-win situatie zou zijn voor het bedrijf en zijn klanten. Hij merkte op dat de hackers - die Microsoft de bijnaam Storm-0558 gaf - alleen werden gepakt omdat iemand bij het State Department met toegang tot Microsofts top-of-the-line logging een afwijking in hun forensische gegevens opmerkte.

"Microsoft klanten en beveiligingsbedrijven meer macht geven, zodat ze kunnen samenwerken, is waarschijnlijk de beste manier," zei Adair.