Unclessify
Unclessify
Lingua
Il presidente di Microsoft sotto torchio da parte del Congresso per le falle nella sicurezza informatica — ProPublica
ProPublica

Il presidente di Microsoft sotto torchio da parte del Congresso per le falle nella sicurezza informatica — ProPublica

ProPublicaInternational2026public16/06/2026
#surveillance#technology#propublica#international#year 2026#investigation#declassified#cia

Fonte Proprietaria: ProPublicaInternational

Condividi:

Nota Legale

Questo contenuto e stato pubblicato da ProPublica. Tutti i diritti, responsabilita e accuratezza delle informazioni sono di esclusiva competenza di ProPublica. Unclessify si limita a indicizzare e rendere accessibile il contenuto declassificato.

Leggi il Disclaimer Completo →

Articolo Completo

Giovedì i membri del Congresso hanno fatto pressione su Microsoft affinché rafforzi la gestione delle falle di sicurezza segnalate nei suoi onnipresenti prodotti dopo una serie di attacchi informatici.

Il presidente di Microsoft sotto torchio da parte del Congresso per le falle nella sicurezza informatica — ProPublica

Giovedì, i membri del Congresso hanno sollecitato Microsoft a rafforzare le procedure di gestione delle vulnerabilità di sicurezza segnalate nei suoi prodotti onnipresenti, dopo una serie di attacchi informatici che hanno colpito il governo federale.

Le critiche dei membri della Commissione per la Sicurezza Interna della Camera dei Rappresentanti sono giunte in risposta a una nuova inchiesta di ProPublica che ha rivelato come Microsoft abbia ripetutamente ignorato le segnalazioni di un ingegnere dell'azienda che, a partire dal 2017, aveva avvertito che una falla nel prodotto rendeva milioni di utenti vulnerabili agli attacchi, inclusi dipendenti federali. Gli hacker russi hanno poi sfruttato tale vulnerabilità in uno dei più grandi attacchi informatici della storia degli Stati Uniti, noto come SolarWinds.

Il deputato Bennie Thompson del Mississippi , il principale esponente democratico della commissione, ha inserito l'articolo dell'organizzazione giornalistica nel verbale del Congresso. Ha poi chiesto al presidente di Microsoft, Brad Smith, se l'azienda avesse nel frattempo istituito una procedura "per garantire che le preoccupazioni dei dipendenti in merito alla sicurezza di Microsoft o dei suoi prodotti vengano considerate prioritarie e affrontate".

Smith, seduto da solo al tavolo dei testimoni in una sala gremita, ha dichiarato ai legislatori che l'azienda sta cambiando il suo approccio alla sicurezza. Microsoft sta cercando "di dare a ogni dipendente la possibilità di concentrarsi sul miglioramento continuo e di esprimere la propria opinione... e di garantire che queste voci vengano ascoltate e prese in considerazione", ha affermato.

Smith ha aggiunto: "Vogliamo una cultura che incoraggi ogni dipendente a cercare i problemi, trovarli, segnalarli, contribuire a risolverli e poi imparare dai problemi".

Come riportato da ProPublica, questa non è la cultura aziendale che l'ex ingegnere di Microsoft, Andrew Harris, ha incontrato negli anni precedenti a SolarWinds. Harris ha affermato che i responsabili di prodotto, concentrati sull'obiettivo di Microsoft di dominare il mercato del cloud computing, gli dissero che affrontare la debolezza da lui individuata avrebbe compromesso gli obiettivi aziendali di Microsoft, ovvero assicurarsi contratti con il governo federale ed emarginare la concorrenza.

Il Cyber ​​Safety Review Board federale, nella propria indagine sul ruolo di Microsoft in un altro attacco informatico perpetrato lo scorso anno da hacker cinesi, ha anch'esso riscontrato che la cultura della sicurezza dell'azienda è "inadeguata" e necessita di una "revisione completa". Microsoft "ha declassato sia gli investimenti nella sicurezza aziendale sia una rigorosa gestione del rischio", ha rilevato il Board, con conseguente "una serie di errori evitabili".

Giovedì, Smith ha dichiarato che Microsoft si è assunta la responsabilità delle conclusioni del consiglio di amministrazione e che da allora ha deciso di collegare i bonus dei dirigenti alla sicurezza informatica. Ha aggiunto che la sicurezza sarà inoltre parte integrante della valutazione delle prestazioni di ogni dipendente Microsoft e che, di conseguenza, avrà un impatto indiretto sulla retribuzione a livello aziendale.

La promessa di Microsoft di cambiare la propria cultura della sicurezza riecheggia un impegno simile assunto dal fondatore Bill Gates più di 20 anni fa. "Quando ci troviamo di fronte alla scelta tra aggiungere funzionalità e risolvere i problemi di sicurezza, dobbiamo scegliere la sicurezza", scrisse Gates all'epoca.

Nei decenni successivi, ex dipendenti hanno raccontato a ProPublica che lo sviluppo di nuovi prodotti e funzionalità aveva spesso la priorità rispetto alla correzione dei bug di sicurezza presenti nelle offerte esistenti.

Sebbene l'argomento ufficiale dell'udienza di giovedì fosse il rapporto del comitato per la sicurezza informatica sull'attacco hacker in Cina, i membri della commissione hanno posto a Smith numerose domande sull'inchiesta di ProPublica relativa a SolarWinds, che la deputata Delia Ramirez, democratica dell'Illinois , ha definito un "rapporto esplosivo".

Ha affermato che l'udienza rappresentava un "momento di resa dei conti" per l'azienda, che ha ripetutamente minimizzato il proprio ruolo in SolarWinds. Una delle falle sfruttate dai russi riguardava un'applicazione Microsoft, che avrebbe dovuto garantire agli utenti l'autorizzazione ad accedere ai programmi basati sul cloud. Questa vulnerabilità ha permesso agli intrusi di spacciarsi per dipendenti legittimi e di frugare tra dati sensibili nel cloud, comprese le e-mail.

Il deputato Seth Magaziner, DR.I. , ha chiesto a Smith informazioni sulla sua precedente testimonianza al Congresso, in cui aveva affermato che Microsoft era venuta a conoscenza di questa vulnerabilità per la prima volta nel novembre 2017, quando una società esterna di sicurezza informatica aveva pubblicato un rapporto al riguardo. L'indagine di ProPublica, ha osservato Magaziner, ha scoperto che Harris aveva sollevato la questione anche prima, ma era stata ignorata. Il deputato ha chiesto a Smith se la sua precedente testimonianza fosse errata.

Smith ha glissato, affermando di non aver letto l'articolo. "Stamattina ero alla Casa Bianca", ha dichiarato alla commissione.

Per saperne di più

In seguito, Smith si è lamentato del fatto che l'inchiesta di ProPublica fosse stata pubblicata il giorno stesso dell'udienza e ha affermato che ne avrebbe saputo di più "tra una settimana". ProPublica aveva inviato domande dettagliate a Microsoft quasi due settimane prima della pubblicazione dell'articolo, avvenuta giovedì, e aveva richiesto un'intervista con Smith. L'azienda si è rifiutata di renderlo disponibile.

Giovedì, Smith ha fatto notare che la vulnerabilità del prodotto Microsoft poteva essere riscontrata anche nei software di altre aziende. Gli specialisti di sicurezza informatica hanno tuttavia osservato che la versione di Microsoft era una delle più utilizzate, anche dal governo federale.

Quando Ramirez ha chiesto come la scoperta di Harris sarebbe stata gestita diversamente oggi, Smith ha risposto: "Credo che la cosa più importante oggi sia semplicemente notare come stiamo cambiando... come diamo importanza a questi problemi e premiamo le persone che li scoprono, li segnalano e contribuiscono a risolverli".

Contenuti correlati

Commenti (0)