Microsoft ने अपनी तकनीक में साइबर सुरक्षा कमजोरियों के बारे में अग्रिम सूचनाओं के लिए चीनी कंपनियों की पहुंच पर अंकुश लगाया है, यह जांचने के बाद कि क्या एक रिसाव ने अपने SharePoint सॉफ़्टवेयर में खामियों का शोषण करने वाले हैक की एक श्रृंखला का नेतृत्व किया।
माइक्रोसॉफ्ट के प्रवक्ता डेविड कड्डी के अनुसार, चीन, जिसमें चीन शामिल होगा, “उन देशों में, जहां उन्हें अपनी सरकारों को कमजोरियों की रिपोर्ट करने की आवश्यकता होती है,” में कार्यक्रम के प्रतिभागियों के लिए पहुंच को सीमित कर देगा। Microsoft सक्रिय सुरक्षा कार्यक्रम, या MAPP का लक्ष्य, Microsoft उत्पादों में खामियों के बारे में शुरुआती विवरण के साथ दुनिया भर में सुरक्षा सॉफ्टवेयर कंपनियों को प्रदान करना है ताकि वे अपने ग्राहकों के लिए तेजी से अद्यतन सुरक्षा प्रदान कर सकें।
Microsoft की घोषणा साइबर हमले के एक अभियान का अनुसरण करती है, जिसे Microsoft ने चीन में राज्य-प्रायोजित हैकर्स पर दोषी ठहराया, जिन्होंने SharePoint सर्वर में सुरक्षा कमजोरियों को लक्षित किया। देश के परमाणु हथियारों को डिजाइन करने और बनाए रखने के लिए जिम्मेदार, अमेरिका के राष्ट्रीय परमाणु सुरक्षा प्रशासन सहित, SharePoint हमलों में 400 से अधिक सरकारी एजेंसियों और निगमों का उल्लंघन किया गया था।
यह स्पष्ट नहीं है कि कैसे कथित चीनी हैकर्स ने SharePoint में कमजोरियों की खोज की। हालांकि, हमलों के बाद, Microsoft ने जांच की कि क्या दोषों के बारे में विवरण अपने MAPP भागीदारों से लीक हो सकता है, ब्लूमबर्ग न्यूज ने पहले बताया था।
अब, Microsoft अब “प्रूफ ऑफ़ कॉन्सेप्ट” कोड के साथ परिवर्तन से प्रभावित MAPP प्रतिभागियों को दोषों का प्रदर्शन करने के लिए प्रदान नहीं करेगा। इसके बजाय, यह उन्हें कमजोरियों का “अधिक सामान्य लिखित विवरण” जारी करेगा, जो कि यह उसी समय भेजेगा क्योंकि कमजोरियों को ठीक करने के लिए पैच को जारी किया जाता है, कंपनी के प्रवक्ता ने कहा।
“हम इसके दुरुपयोग के लिए क्षमता के बारे में जानते हैं, यही वजह है कि हम दुरुपयोग को रोकने के लिए – ज्ञात और गोपनीय दोनों कदम उठाते हैं,” कुड्डी ने कहा। “हम लगातार प्रतिभागियों की समीक्षा करते हैं और उन्हें निलंबित कर देते हैं या उन्हें हटा देते हैं यदि हम पाते हैं कि उन्होंने हमारे साथ अपने अनुबंध का उल्लंघन किया है, जिसमें आक्रामक हमलों में भाग लेने पर प्रतिबंध शामिल है।”
Cuddy ने SharePoint हैक से संबंधित संभावित रिसाव में Microsoft की जांच के निष्कर्षों पर टिप्पणी नहीं की, लेकिन कहा कि “कारण पर कई काम करने वाले सिद्धांत थे।”
वाशिंगटन में चीनी दूतावास के एक प्रवक्ता, डीसी ने एक बयान में कहा कि वे Microsoft के परिवर्तनों या MAPP कार्यक्रम से संदिग्ध लीक के विवरण से परिचित नहीं थे। लेकिन उन्होंने कहा कि साइबर सुरक्षा सभी देशों द्वारा सामना की जाने वाली एक “सामान्य चुनौती” थी और इसे संवाद और सहयोग के माध्यम से संयुक्त रूप से संबोधित किया जाना चाहिए।
Mapp समूह में Microsoft के अनुसार, कम से कम एक दर्जन चीनी प्रौद्योगिकी और साइबर सुरक्षा कंपनियां शामिल हैं। उन सदस्यों को पहले Microsoft को जनता के लिए जारी करने से कम से कम 24 घंटे पहले सुरक्षा कमजोरियों के लिए पैच के बारे में जानकारी प्राप्त होगी।
चीनी प्रतिभागियों के बारे में चिंता एक 2021 के कानून के हिस्से के कारण होती है, जिसमें कहा गया है कि कोई भी कंपनी या सुरक्षा शोधकर्ता जो साइबर सुरक्षा भेद्यता की पहचान करता है, उसे चीन के उद्योग और सूचना प्रौद्योगिकी मंत्रालय को 48 घंटे के भीतर रिपोर्ट करना होगा। इसके अलावा, MAPP 2012 तक कथित लीक का स्रोत रहा है, जब Microsoft ने एक चीनी नेटवर्क सुरक्षा कंपनी, एक चीनी नेटवर्क सुरक्षा कंपनी, एक nondisclosure समझौते को तोड़ने का आरोप लगाया, जो विंडोज में एक प्रमुख भेद्यता को उजागर करने वाली जानकारी का खुलासा करने का एक चीनी नेटवर्क सुरक्षा कंपनी है।
हाल ही में, 2021 में, Microsoft ने अपने एक्सचेंज सर्वर में कमजोरियों के बारे में जानकारी लीक करने के कम से कम दो अन्य चीनी MAPP भागीदारों को संदेह किया, जिससे एक वैश्विक हैकिंग अभियान चला गया, जिसे Microsoft ने एक चीनी जासूसी समूह पर दोषी ठहराया, जिसे Hafnium कहा जाता है।
अमेरिकी साइबर सुरक्षा कंपनी सेंटिनलोन में चीन-केंद्रित सलाहकार डकोटा कैरी ने कहा कि माइक्रोसॉफ्ट ने साइबरसिटी कमजोरियों की जानकारी तक चीनी कंपनियों की पहुंच पर अंकुश लगाने का फैसला किया, एक “शानदार बदलाव” था।
“यह बहुत स्पष्ट है कि MAPP में चीनी कंपनियों को सरकार से प्रोत्साहन का जवाब देना है,” कैरी ने कहा। “तो यह प्रदान की गई जानकारी को सीमित करने के लिए समझ में आता है।”
एथ ज्यूरिख के सेंटर फॉर सिक्योरिटी स्टडीज में चीनी साइबर हमले का विश्लेषण करने में माहिर एक शोधकर्ता यूजेनियो बेनिनकासा ने कहा कि वर्षों से एमएपीपी कार्यक्रम से बाहर लीक के बारे में संदेह था, लेकिन कहा कि “अभी चीन के साइबर संचालन पर अभूतपूर्व ध्यान” का मतलब है कि माइक्रोसॉफ्ट ने कार्रवाई करने के लिए दबाव महसूस किया।
Microsoft ने पहली बार यह भी पुष्टि की कि उसने “पारदर्शिता केंद्रों” को बंद कर दिया था, जिसे पहले चीन में स्थापित किया गया था, जहां सरकार यह पुष्टि करने के लिए कंपनी की तकनीक के स्रोत कोड की समीक्षा कर सकती है कि यह छिपे हुए “बैकडोर्स” से मुक्त था जो डिजिटल निगरानी के लिए इस्तेमाल किया जा सकता है। कुड्डी ने कहा कि चीन में ऐसी सुविधाएं “लंबे समय से सेवानिवृत्त हो गई थीं” और “किसी ने भी 2019 से चीन में एक का दौरा नहीं किया है।”
टेक दिग्गज ने कम से कम 2003 के बाद से चीन में अपने स्रोत कोड तक पहुंच की अनुमति दी थी, जब कंपनी ने घोषणा की कि यह “पहली वाणिज्यिक सॉफ्टवेयर कंपनी थी जो चीनी सरकार को अपने स्रोत कोड तक पहुंच प्रदान करती है” और ऐसा किया था कि अधिकारियों को विंडोज प्लेटफॉर्म की सुरक्षा में विश्वास प्रदान किया।
Microsoft के हालिया खुलासे ब्लूमबर्ग न्यूज के सवालों के जवाब में एक नई रिपोर्ट में आरोपों के जवाब में आए थे कि साइबेरपायन से जुड़े चीनी संगठन MAPP कार्यक्रम के सदस्यों के साथ वुहान में एक ही विशाल परिसर में काम कर रहे थे।
यूएस एडवोकेसी ग्रुप, टेक इंटीग्रिटी प्रोजेक्ट द्वारा तैयार की गई एक रिपोर्ट के अनुसार, संगठन नेशनल साइबर सुरक्षा केंद्र से बाहर काम कर रहे थे, जो रक्षात्मक और आक्रामक हैकिंग तकनीकों में माहिर हैं और चीन के राज्य सुरक्षा मंत्रालय के एक प्रभाग में एक डिवीजन हैं।
Microsoft के प्रवक्ता Cuddy ने कहा कि Microsoft ने कभी भी वुहान में साइबर सुरक्षा केंद्र के साथ संलग्न नहीं किया था।
वाशिंगटन, डीसी में चीनी दूतावास के प्रवक्ता ने एक बयान में कहा कि वे रिपोर्ट के विशिष्ट विवरणों से परिचित नहीं थे, लेकिन उन्होंने कहा कि चीन “कानून के अनुसार हैकिंग गतिविधियों का विरोध करता है और लड़ता है।”
“उसी समय, हम साइबर सुरक्षा के मुद्दों के बहाने चीन के खिलाफ स्मीयर और हमलों का विरोध करते हैं,” प्रवक्ता ने कहा।
