Una recente indagine condotta dal Cyber Safety Review Board ha messo in luce le cause che hanno portato alla compromissione di centinaia di migliaia di email di clienti cloud, inclusi enti federali, durante l'estate del 2023. Le conclusioni indicano "una serie di fallimenti nella sicurezza da parte di Microsoft", sottolineando che la cultura della sicurezza dell'azienda è risultata inadeguata e necessita di un miglioramento.
Il report, richiesto dal Presidente Biden in risposta all'ampia violazione, esamina dettagliatamente le azioni intraprese da Microsoft prima, durante e dopo l'incidente, evidenziando in ogni fase delle criticità. Nonostante l'azienda non fosse a conoscenza del metodo specifico utilizzato da Storm-0558, gruppo di hacker associato alla Cina, per accedere ai sistemi, l'incidente è stato definito "prevenibile".
Secondo l'analisi, una serie di decisioni operative e strategiche di Microsoft riflette una cultura aziendale che ha trascurato gli investimenti in sicurezza aziendale e una gestione rigorosa del rischio. In risposta, un portavoce di Microsoft ha affermato di apprezzare lo sforzo del CSRB nell'indagare l'impatto degli attori statali e ha sottolineato come eventi recenti abbiano dimostrato la necessità di adottare una nuova cultura di sicurezza nelle proprie reti. L'azienda ha anche comunicato di impegnarsi nel rafforzamento dei sistemi e nell'implementazione di ulteriori sensori e log per "contrastare gli eserciti cyber dei nostri avversari", oltre che nell'esaminare il rapporto finale per ulteriori raccomandazioni.
Il Cyber Safety Review Board (CSRB), formato da ufficiali governativi e del settore privato, ha criticato Microsoft per non aver corretto tempestivamente le sue dichiarazioni pubbliche inaccurate riguardanti l'incidente, compreso un comunicato aziendale che affermava erroneamente di aver identificato la causa principale dell'intrusione, nonostante la mancata identificazione effettiva.
Microsoft aveva precedentemente descritto l'incidente evitando termini come "vulnerabilità", "exploit" o "zero-day", e aveva attribuito l'intrusione all'acquisizione, da parte di Storm-0558, di una chiave di firma non attiva utilizzata per falsificare token per il servizio cloud Azure AD. Tuttavia, l'azienda ammise solo successivamente, pressata da richieste di maggiore trasparenza da parte del Congresso e di analisti di sicurezza, che la violazione era stata facilitata dall'hack dell'account di un ingegnere, che diede agli attaccanti l'accesso alla chiave di firma e a dump di crash spostati in un ambiente di debug. Questi errori umani, insieme a una corsa critica nel software, consentirono l'uso di una chiave di firma scaduta per creare i token.